Boletins de segurança


Todos os boletins de segurança dos seguintes produtos estão descritos nesta página:

  • Google Kubernetes Engine (GKE)
  • Google Distributed Cloud (somente software) no VMware
  • GKE na AWS
  • GKE no Azure
  • Google Distributed Cloud (somente software) em bare metal

Geralmente, as vulnerabilidades são mantidas sob sigilo e não podem ser divulgadas até que as partes afetadas tenham a oportunidade de solucioná-las. Nesses casos, as notas de lançamento do produto mencionarão "atualizações de segurança" até que a divulgação seja liberada. No momento da liberação, as notas serão atualizadas para indicar a vulnerabilidade solucionada pelo patch.

Quando o GKE emite um boletim de segurança que se relaciona diretamente com a configuração ou versão do cluster, podemos enviar uma notificação de cluster SecurityBulletinEvent com informações sobre a vulnerabilidade e as ações que você pode realizar, se aplicável. Consulte Notificações de cluster para mais informações sobre esse assunto.

Para mais informações sobre como o Google gerencia vulnerabilidades de segurança e para o GKE e o GKE Enterprise, consulte Patch de segurança:

As plataformas GKE e GKE Enterprise não usam componentes como ingress-nginx e o ambiente de execução de contêiner CRI-O e não são afetadas por nenhuma vulnerabilidades nesses componentes. Se você instalar componentes de outras fontes, consulte as atualizações de segurança e os dispositivos de patch desses componentes.

Use este feed XML para se inscrever nos boletins de segurança desta página.

GCP-2024-062

Data de publicação: 02/12/2024
Referência:CVE-2024-46800

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-46800

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1217000
  • 1.29.9-gke.1496000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-46800

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-46800

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-46800

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-46800

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-061

Data de publicação: 25/11/2024
Referência: CVE-2024-10220

GKE;

Descrição Gravidade

Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código usando um volume gitRepo. Se o repositório do git for criado de forma maliciosa, um usuário com a capacidade de criar um pod e associar um volume gitRepo poderá executar comandos arbitrários além do limite do contêiner.

O que devo fazer?

Faça upgrade do cluster do GKE e dos pools de nós para uma versão com patch. As seguintes versões do GKE foram atualizadas para corrigir essa vulnerabilidade:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

Por motivos de segurança, mesmo com o upgrade automático de nós ativado, recomendamos fazer upgrade manualmente dos seus clusters e pools de nós para uma versão corrigida do GKE. Os canais de lançamento do GKE permitem que você aplique patches sem precisar cancelar a inscrição ou mudar de canal de lançamento. Isso permite proteger o cluster e os nós antes que a nova versão se torne o padrão no canal de lançamento selecionado.

Quais vulnerabilidades são corrigidas por esse patch?

O CVE-2024-10220 permite que um invasor crie um pod e associe um volume gitRepo para executar comandos arbitrários além do limite do contêiner.

Alta

GDC (VMware)

Descrição Gravidade

Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código usando um volume gitRepo. Se o repositório do git for criado de forma maliciosa, um usuário com a capacidade de criar um pod e associar um volume gitRepo poderá executar comandos arbitrários além do limite do contêiner.

O que devo fazer?

Alta

GKE na AWS

Descrição Gravidade

Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código usando um volume gitRepo. Se o repositório do git for criado de forma maliciosa, um usuário com a capacidade de criar um pod e associar um volume gitRepo poderá executar comandos arbitrários além do limite do contêiner.

O que devo fazer?

Alta

GKE no Azure

Descrição Gravidade

Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código usando um volume gitRepo. Se o repositório do git for criado de forma maliciosa, um usuário com a capacidade de criar um pod e associar um volume gitRepo poderá executar comandos arbitrários além do limite do contêiner.

O que devo fazer?

Alta

GDC (bare metal)

Descrição Gravidade

Um problema de segurança descoberto em clusters do Kubernetes pode resultar na execução remota de código usando um volume gitRepo. Se o repositório do git for criado de forma maliciosa, um usuário com a capacidade de criar um pod e associar um volume gitRepo poderá executar comandos arbitrários além do limite do contêiner.

O que devo fazer?

Alta

GCP-2024-057

Data de publicação: 03/10/2024
Data de atualização: 19/11/2024
Referência:CVE-2024-45016

Atualização de 19/11/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 15/10/2024 : foram adicionadas versões de patch para o GDC (VMware). A gravidade do GDC (VMware) foi atualizada de "Pendente" para "Médio". A gravidade do GKE foi atualizada de alta para média.

GKE;

Atualização : 19/11/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-45016

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 19/11/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1784000
  • 1.28.15-gke.1080000
  • 1.29.10-gke.1155000
  • 1.30.6-gke.1059000
  • 1.31.2-gke.1354000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.16-gke.1478000
  • 1.28.14-gke.1099000
  • 1.29.9-gke.1177000
  • 1.30.5-gke.1145000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Médio

GDC (VMware)

Atualização : 15/10/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-45016

O que devo fazer?

Atualização de 15/10/2024:as seguintes versões do GDC (VMware) foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GDC (VMware) para as seguintes versões ou mais recentes:

  • 1.30.100-gke.96
  • 1.29.600-gke.109
  • 1.28.1000-gke.59

Médio

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-45016

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-45016

O que devo fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-45016

O que devo fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-056

Publicado em: 27/09/2024
Referência: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177

GKE

Descrição Gravidade

Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela.

O GKE não usa o sistema de impressão CUPS e não é afetado.

O que fazer?

Nenhuma ação necessária

Nenhum

GDC (VMware)

Descrição Gravidade

Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela.

O software GDC para VMware não usa o sistema de impressão CUPS e não é afetado.

O que fazer?

Nenhuma ação necessária

Nenhum

GKE na AWS

Descrição Gravidade

Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela.

O GKE na AWS não usa o sistema de impressão CUPS e não é afetado.

O que fazer?

Nenhuma ação necessária

Nenhum

GKE no Azure

Descrição Gravidade

Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela.

O GKE no Azure não usa o sistema de impressão CUPS e não é afetado.

O que fazer?

Nenhuma ação necessária

Nenhum

GDC (bare metal)

Descrição Gravidade

Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela.

O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

O que fazer?

Nenhuma ação necessária

Nenhum

GCP-2024-054

Data de publicação: 23/09/2024
Referência: CVE-2024-5321

GKE

Descrição Gravidade

Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que BUILTIN\Users pode ler os registros do contêiner e AUTHORITY\Authenticated. Os usuários podem modificar os registros do contêiner.

Qualquer ambiente do Kubernetes com nós do Windows é afetado. Execute kubectl get nodes -l kubernetes.io/os=windows para conferir se algum nó do Windows está em uso.

Versões afetadas do GKE

  • 1.27.15 e versões anteriores
  • 1.28.11 e versões anteriores
  • 1.29.6 e versões anteriores
  • 1.30.2 e versões anteriores

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Quais vulnerabilidades estão sendo resolvidas?

CVE-2024-5321

Média

GDC (VMware)

Descrição Gravidade

Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que BUILTIN\Users pode ler os registros do contêiner e AUTHORITY\Authenticated. Os usuários podem modificar os registros do contêiner.

Qualquer ambiente do Kubernetes com nós do Windows é afetado. Execute kubectl get nodes -l kubernetes.io/os=windows para conferir se algum nó do Windows está em uso.

O que fazer?

As versões de patch do software do GDC para VMware estão em andamento. Atualizaremos este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades estão sendo resolvidas?

CVE-2024-5321

Média

GKE na AWS

Descrição Gravidade

Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que BUILTIN\Users pode ler os registros do contêiner e AUTHORITY\Authenticated. Os usuários podem modificar os registros do contêiner.

Os clusters do GKE na AWS não são compatíveis com nós do Windows e não são afetados.

O que fazer?

Nenhuma ação necessária

Nenhum

GKE no Azure

Descrição Gravidade

Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que BUILTIN\Users pode ler os registros do contêiner e AUTHORITY\Authenticated. Os usuários podem modificar os registros do contêiner.

O GKE em clusters do Azure não oferece suporte a nós do Windows e não é afetado.

O que fazer?

Nenhuma ação necessária

Nenhum

GDC (bare metal)

Descrição Gravidade

Foi descoberto um problema de segurança em clusters do Kubernetes com nós do Windows em que BUILTIN\Users pode ler os registros do contêiner e AUTHORITY\Authenticated. Os usuários podem modificar os registros do contêiner.

O software do GDC para clusters bare metal não oferece suporte a nós do Windows e não é afetado.

O que fazer?

Nenhuma ação necessária

Nenhum

GCP-2024-050

Data de publicação: 2024-09-04
Referência: CVE-2024-38063

GKE

Descrição Gravidade

Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host.

O que fazer?

O GKE não oferece suporte a IPv6 no Windows e não é afetado por essa CVE. Você não precisa fazer nada.

Nenhum

GDC (VMware)

Descrição Gravidade

Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host.

O que fazer?

O software GDC para VMware não oferece suporte a IPv6 no Windows e não é afetado por essa CVE. Você não precisa fazer nada.

Nenhum

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host.

O que fazer?

O GKE na AWS não é afetado por essa CVE. Você não precisa fazer nada.

Nenhum

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host.

O que fazer?

O GKE no Azure não é afetado por essa CVE Você não precisa fazer nada.

Nenhum

GDC (bare metal)

Descrição Gravidade

Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor pode explorar essa vulnerabilidade remotamente enviando pacotes IPv6 especialmente criados para um host.

O que fazer?

O GDC (bare metal) não é afetado por essa CVE. Você não precisa fazer nada.

Nenhum

GCP-2024-049

Data de publicação: 21/08/2024
Data de atualização: 01/11/2024
Referência:CVE-2024-36978

Atualização de 01/11/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 21/10/2024 : foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36978

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 01/11/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização : 21/10/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36978

O que devo fazer?

Atualização de 21/10/2024:as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.28.1100-gke.91
  • 1.30.200-gke.101
  • 1.29.600-gke.109

Alta

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36978

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36978

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36978

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-048

Data de publicação: 20/08/2024
Data de atualização: 30/10/2024
Referência:CVE-2024-41009

Atualização de 30/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 25/10/2024 : foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-41009

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 30/10/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização : 25/10/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-41009

O que devo fazer?

Atualização de 25/10/2024:as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.29.700-gke.110
  • 1.28.1100-gke.91
  • 1.30.200-gke.101

Alta

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-41009

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-41009

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-41009

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-047

Data de publicação: 19/08/2024
Data de atualização: 30/10/2024
Referência:CVE-2024-39503

Atualização de 30/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 21/10/2024 : foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-39503

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 30/10/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.15-gke.1125000
  • 1.28.11-gke.1170000
  • 1.29.6-gke.1137000
  • 1.30.3-gke.1225000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização : 21/10/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-39503

O que devo fazer?

Atualização de 21/10/2024:as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.30.200-gke.101
  • 1.29.600-gke.109
  • 1.28.1100-gke.91

Alta

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-39503

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-39503

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-39503

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-045

Data de publicação: 17/07/2024
Data de atualização: 19/09/2024
Referência: CVE-2024-26925

Atualização de 19/09/2024: foram adicionadas versões de patch para o GDC (VMware).

Atualização de 21/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE

Atualização: 2024-08-21

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 21/08/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização: 2024-09-19

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

O que fazer?

Atualização de 19/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.29.400
  • 1.28.900

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-044

Data de publicação: 16/07/2024
Data de atualização: 30/10/2024
Referência:CVE-2024-36972

Atualização de 30/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 21/10/2024 : foram adicionadas versões de patch e atualizada a gravidade para o GDC (VMware).

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 30/10/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização : 21/10/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

O que devo fazer?

Atualização de 21/10/2024:as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.30.200-gke.101
  • 1.29.600-gke.109
  • 1.28.1100-gke.91

Alta

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-043

Data de publicação: 16/07/2024
Data de atualização: 02/10/2024
Referência:CVE-2024-26921

Atualização de 02/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 20/09/2024: foram adicionadas versões de patch para o GDC (VMware).

GKE;

Atualização : 02/10/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 02/10/2024:as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1287000
  • 1.28.13-gke.1042000
  • 1.29.8-gke.1096000
  • 1.30.4-gke.1476000
  • 1.30.4-gke.1476000
  • 1.31.0-gke.1577000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização: 20/09/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

O que fazer?

Atualização de 20/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.30.200
  • 1.29.500
  • 1.28.1000

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-042

Data de publicação: 15/07/2024
Data de atualização: 18/07/2024
Referência: CVE-2024-26809

Atualização de 18 de julho de 2024 : esclarecemos que os clusters do Autopilot na configuração padrão não são afetados.

GKE

Atualização: 2024-07-18

Descrição Gravidade

Atualização de 18 de julho de 2024: a versão original deste boletim afirmou incorretamente que os clusters do Autopilot foram afetados. Os clusters do Autopilot na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir o recurso CAP_NET_ADMIN.


As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-041

Data de publicação: 08/07/2024
Data de atualização: 16/09/2024
Referência: CVE-2023-52654, CVE-2023-52656

Atualização de 16/09/2024: foram adicionadas versões de patch para o GDC (VMware).

Atualização de 19/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE

Atualização: 2024-07-19

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 19/07/2024 : as seguintes versões do GKE contêm código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização: 2024-09-16

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

O que fazer?

Atualização de 16/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.29.200
  • 1.28.700
  • 1.16.11

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-040

Data de publicação: 01/07/2024
Data de atualização: 11/07/2024
Referência: CVE-2024-6387

Atualização de 11/07/2024: adição de versões de patch para o software da GDC para VMware, GKE na AWS e GKE no Azure.

Atualização de 03/07/2024: adição de versões de patch para o GKE.

Atualizações de 02/07/2024:

  • Foi esclarecido que os clusters do Autopilot são afetados e vão exigir ação do usuário.
  • Adição de avaliações de impacto e etapas de mitigação para GDC (VMware), GKE na AWS e GKE no Azure.
  • Correção do boletim de segurança do GDC (bare metal) para esclarecer que o GDC (bare metal) não é diretamente afetado e que os clientes precisam verificar com os fornecedores do SO se há patches.

GKE

Atualização: 03/07/2024

Descrição Gravidade

Atualização de 3 de julho de 2024: o lançamento está em andamento e as novas versões do patch vão ser disponibilizadas em todas as zonas até o dia 3 de julho de 2024, às 17h no Horário de Verão do Pacífico dos EUA e do Canadá (UTC-7). Para receber uma notificação assim que um patch estiver disponível para seu cluster específico, use notificações de cluster.


Atualização de 2024-07-02: essa vulnerabilidade afeta clusters do modo Autopilot e do modo padrão. Cada seção a seguir informa os modos a que ela se aplica.


Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão.

Todas as versões com suporte do Container-Optimized OS e imagens do Ubuntu no GKE executam versões do OpenSSH que estão vulneráveis a esse problema.

Clusters do GKE com endereços IP de nó público e SSH expostos à Internet precisam ser tratados com a maior prioridade de mitigação.

O plano de controle do GKE não é vulnerável a esse problema.

O que fazer?

Atualização de 03/07/2024: versões de patch do GKE

Um lançamento está em andamento e as novas versões do patch vão ser disponibilizadas em todas as zonas até o dia 3 de julho de 2024, às 17h no Horário de Verão do Pacífico dos EUA e do Canadá (UTC-7).

Os clusters e nós com upgrade automático ativado vão começar a fazer upgrade à medida que a semana avança, mas, devido à gravidade da vulnerabilidade, recomendamos fazer o upgrade manualmente conforme abaixo para receber os patches o mais rápido possível.

Nos clusters do Autopilot e do Standard, faça upgrade do plano de controle para uma versão corrigida. Além disso, para clusters no modo padrão, faça upgrade dos pools de nós para uma versão com patch. Os clusters do Autopilot vão começar a atualizar os nós para corresponder à versão do plano de controle o mais rápido possível.

As versões corrigidas do GKE estão disponíveis para todas as versões com suporte para minimizar as mudanças necessárias para aplicar o patch. O número de versão de cada nova versão é um incremento no dígito final do número de versão de uma versão correspondente. Por exemplo, se você estiver na versão 1.27.14-gke.1100000, faça upgrade para 1.27.14-gke.1100002 para receber a correção com a menor mudança possível. As seguintes versões do GKE com patch estão disponíveis:

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

Para verificar se um patch está disponível na zona ou região do cluster, execute o seguinte comando:

gcloud container get-server-config --location=LOCATION

Substitua LOCATION pela sua zona ou região.


Atualização de 02/07/2024: os clusters do modo Autopilot e do modo padrão precisam ser atualizados assim que as versões de patch estiverem disponíveis.


Uma versão do GKE com patch que inclui o OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando os patches estiverem disponíveis. Para receber uma notificação do Pub/Sub quando houver um patch para seu canal, ative as notificações do cluster. Recomendamos seguir estas etapas para verificar a exposição do cluster e aplicar as mitigações descritas, conforme necessário.

Determinar se os nós têm endereços IP públicos

Atualização de 2 de julho de 2024: esta seção se aplica aos clusters do Autopilot e do Standard.


Se um cluster for criado com enable-private-nodes, os nós serão particulares, o que mitiga a vulnerabilidade removendo a exposição à Internet. Execute o seguinte comando para determinar se o cluster tem nós privados ativados:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Se o valor de retorno for "True", todos os nós serão particulares para esse cluster, e a vulnerabilidade será mitigada. Se o valor estiver vazio ou for falso, continue aplicando uma das mitigações nas seções a seguir.

Para encontrar todos os clusters criados originalmente com nós públicos, use esta consulta do Inventário de recursos do Cloud no projeto ou na organização:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Não permitir SSH para os nós do cluster

Atualização de 2 de julho de 2024: esta seção se aplica aos clusters do Autopilot e do Standard.


A rede padrão é preenchida previamente com uma regra de firewall default-allow-ssh para permitir o acesso SSH pela Internet pública. Para remover esse acesso, você pode fazer o seguinte:

  • Opcionalmente, crie regras para permitir qualquer acesso SSH necessário de redes confiáveis aos nós do GKE ou a outras VMs do Compute Engine no projeto.
  • Desative a regra de firewall padrão com o seguinte comando:
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Se você criou outras regras de firewall que permitem o SSH pelo TCP na porta 22, desative-as ou limite os IPs de origem a redes confiáveis.

Verifique se não é mais possível acessar os nós do cluster usando SSH pela Internet. Essa configuração de firewall mitiga a vulnerabilidade.

Converter pools de nós públicos em particulares

Atualização de 2 de julho de 2024: para clusters do Autopilot criados originalmente como clusters públicos, é possível colocar suas cargas de trabalho em nós particulares usando nodeSelectors. No entanto, os nós do Autopilot que executam cargas de trabalho do sistema em clusters originalmente criados como públicos ainda serão nós públicos e precisarão ser protegidos usando as mudanças de firewall descritas na seção anterior.


Para proteger melhor os clusters criados originalmente com nós públicos, recomendamos primeiro desativar o SSH pelo firewall, conforme descrito. Se não for possível proibir o SSH pelas regras de firewall, converta os pools de nós públicos em clusters padrão do GKE em privados seguindo estas orientações para isolar os pools de nós.

Mudar a configuração do SSHD

Atualização de 2024-07-02: esta seção se aplica apenas a clusters padrão. As cargas de trabalho do Autopilot não podem modificar a configuração do nó.


Se nenhuma dessas mitigações puder ser aplicada, também publicamos um daemonset que define o SSHD LoginGraceTime como zero e reinicia o daemon SSH. Esse daemonset pode ser aplicado ao cluster para reduzir o ataque. Essa configuração pode aumentar o risco de ataques de negação de serviço e causar problemas com o acesso SSH legítimo. Esse daemonset precisa ser removido depois que um patch for aplicado.

Crítico

GDC (VMware)

Atualização: 11/07/2024

Descrição Gravidade

Atualização de 11/07/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade da estação de trabalho do administrador, dos clusters de administrador e de usuário (incluindo o pool de nós) para uma dessas versões ou outra mais recente. Para instruções, consulte Fazer upgrade de um cluster ou pool de nós.

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

A atualização de 02/07/2024 deste boletim afirmou incorretamente que todas as versões com suporte de imagens do Ubuntu no software GDC para VMware executam versões do OpenSSH que estão vulneráveis a esse problema. As imagens do Ubuntu na versão 1.16 do software GDC voltado para clusters da VMware executam versões do OpenSSH que não são vulneráveis ao problema. As imagens nas versões 1.28 e 1.29 podem apresentar vulnerabilidades. As imagens do Container-Optimized OS em todas as versões com suporte do GDC para VMware estão vulneráveis ao problema.


Atualização de 02/07/2024 : todas as versões com suporte do Container-Optimized OS e imagens do Ubuntu no software GDC para VMware executam versões do OpenSSH que estão vulneráveis a esse problema.

O software GDC para clusters do VMware com endereços IP de nó públicos e SSH expostos à Internet precisa ser tratado com a maior prioridade de mitigação.


Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão.

O que fazer?

Atualização de 02/07/2024: um software GDC corrigido para a versão do VMware que inclui o OpenSSH atualizado será disponibilizado o mais rápido possível. Este boletim será atualizado quando eles estiverem disponíveis. Recomendamos que você aplique as mitigações abaixo conforme necessário.

Não permitir SSH para os nós do cluster

É possível mudar a configuração da rede de infraestrutura para impedir a conectividade SSH de fontes não confiáveis, como a Internet pública.

Mudar a configuração do sshd

Se não for possível aplicar a mitigação anterior, publicamos um DaemonSet que define o LoginGraceTime do sshd como zero e reinicia o daemon SSH. Esse DaemonSet pode ser aplicado ao cluster para reduzir o ataque. Essa configuração pode aumentar o risco de ataques de negação de serviço e causar problemas com o acesso SSH legítimo. Remova esse DaemonSet depois que um patch for aplicado.


Crítico

GKE na AWS

Atualização: 11/07/2024

Descrição Gravidade

Atualização de 11/07/2024: as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Faça upgrade do GKE no plano de controle da AWS e dos pools de nós para uma destas versões com patch ou mais recentes. Para instruções, consulte Fazer upgrade da versão do cluster da AWS e Atualizar um pool de nós.


Atualização de 02/07/2024: todas as versões com suporte de imagens do Ubuntu no GKE na AWS executam versões do OpenSSH que estão vulneráveis a esse problema.

O GKE em clusters da AWS com endereços IP de nó público e SSH expostos à Internet precisa ser tratado com a maior prioridade de mitigação.


Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão.

O que fazer?

Atualização de 02/07/2024: uma versão corrigida do GKE na AWS que inclui o OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando os patches estiverem disponíveis. Recomendamos seguir as etapas a seguir para verificar a exposição do cluster e aplicar as mitigações descritas, conforme necessário.

Determinar se os nós têm endereços IP públicos

O GKE na AWS não provisiona nenhuma máquina com endereços IP públicos ou com regras de firewall que permitam o tráfego para a porta 22 por padrão. No entanto, dependendo da configuração da sub-rede, as máquinas podem receber automaticamente um endereço IP público durante o provisionamento.

Para verificar se os nós estão provisionados com endereços IP públicos, confira a configuração da sub-rede associada ao recurso do conjunto de nós da AWS.

Não permitir SSH para os nós do cluster

Embora o GKE na AWS não permita o tráfego na porta 22 em nenhum nó por padrão, os clientes podem anexar outros grupos de segurança aos pools de nós, ativando o tráfego SSH de entrada.

Recomendamos que você remova ou reduza o escopo das regras correspondentes dos grupos de segurança fornecidos.

Converter pools de nós públicos em particulares

Para proteger melhor os clusters com nós públicos, recomendamos primeiro desativar o SSH pelo seu grupo de segurança, conforme descrito na seção anterior. Se não for possível desativar o SSH nas regras do grupo de segurança, converta os pools de nós públicos em privados desativando a opção de atribuir automaticamente IPs públicos a máquinas em uma sub-rede e provisionando o pool de nós novamente.


Crítico

GKE no Azure

Atualização: 11/07/2024

Descrição Gravidade

Atualização de 11/07/2024: as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essa vulnerabilidade:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Faça upgrade do GKE no plano de controle do Azure e dos pools de nós para uma destas versões com patch ou mais recentes. Para instruções, consulte Fazer upgrade da versão do cluster do Azure e Atualizar um pool de nós.


Atualização de 02/07/2024: todas as versões com suporte de imagens do Ubuntu no GKE no Azure executam versões do OpenSSH que estão vulneráveis a esse problema.

O GKE em clusters do Azure com endereços IP de nó público e SSH expostos à Internet precisa ser tratado com a maior prioridade de mitigação.


Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão.

O que fazer?

Atualização de 02/07/202: uma versão corrigida do GKE no Azure que inclui um OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando os patches estiverem disponíveis. Recomendamos seguir as etapas a seguir para verificar a exposição do cluster e aplicar as mitigações descritas, conforme necessário.

Determinar se os nós têm endereços IP públicos

O GKE no Azure não provisiona nenhuma máquina com endereços IP públicos ou com regras de firewall que permitam o tráfego para a porta 22 por padrão. Para revisar a configuração do Azure e verificar se há endereços IP públicos configurados no cluster do GKE no Azure, execute o seguinte comando:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
Não permitir SSH para os nós do cluster

Embora o GKE no Azure não permita o tráfego na porta 22 em nenhum nó por padrão, os clientes podem atualizar as regras do NetworkSecurityGroup para pools de nós, ativando o tráfego SSH de entrada da Internet pública.

Recomendamos que você analise os grupos de segurança de rede (NSGs) associados aos seus clusters do Kubernetes. Se houver uma regra de NSG que permita o tráfego de entrada irrestrito na porta 22 (SSH), faça uma das seguintes ações:

  • Remover a regra completamente: se o acesso SSH aos nós do cluster não for necessário pela Internet, remova a regra para eliminar possíveis vetores de ataque.
  • Restringir a regra: restrinja o acesso de entrada na porta 22 apenas aos endereços IP ou intervalos específicos que exigem isso. Isso minimiza a superfície exposta para possíveis ataques.
Converter pools de nós públicos em particulares

Para proteger melhor os clusters com nós públicos, recomendamos primeiro desativar o SSH pelo seu grupo de segurança, conforme descrito na seção anterior. Se não for possível desativar o SSH usando as regras do grupo de segurança, converta os pools de nós públicos em particulares removendo os endereços IP públicos associados às VMs.

Para remover um endereço IP público de uma VM e substituí-lo por uma configuração de endereço IP particular, consulte Desassociar um endereço IP público de uma VM do Azure.

Impacto: todas as conexões atuais que usam o endereço IP público serão interrompidas. Verifique se você tem métodos de acesso alternativos, como uma VPN ou o Azure Bastion.


Crítico

GDC (bare metal)

Atualização: 2024-07-02

Descrição Gravidade

Atualização de 02/07/2024: a versão original deste boletim do software do GDC para bare metal afirmava incorretamente que as versões de patch estavam em andamento. O software GDC para bare metal não é afetado diretamente porque não gerencia o daemon ou a configuração SSH do sistema operacional. Portanto, as versões de patch são de inteira responsabilidade do provedor do sistema operacional, conforme descrito na seção O que devo fazer?.


Recentemente, uma vulnerabilidade de execução remota de código, a CVE-2024-6387, foi descoberta no OpenSSH. Ela explora uma disputa que pode ser usada para acessar um shell remoto, o que dá aos invasores acesso raiz aos nós do GKE. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de invasão.

O que fazer?

Atualização de 2024-07-02: entre em contato com seu provedor de SO para receber um patch para os sistemas operacionais em uso com o software do GDC para bare metal.

Até que você aplique o patch do fornecedor do SO, verifique se as máquinas acessíveis publicamente não permitem conexões SSH da Internet. Se isso não for possível, uma alternativa é definir o LoginGraceTime como zero e reiniciar o servidor sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Essa mudança de configuração pode aumentar o risco de ataques de negação de serviço e causar problemas com o acesso SSH legítimo.


Texto original de 2024-07-01 (consulte a correção na atualização anterior de 2024-07-02):

Crítico

GCP-2024-039

Data de publicação: 2024-06-28
Data de atualização: 2024-09-25
Referência: CVE-2024-26923

Atualização de 25/09/2024: foram adicionadas versões de patch para o GDC (VMware).

Atualização de 20/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE

Atualização: 2024-08-20

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 20/08/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização: 2024-09-25

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

O que fazer?

Atualização de 25/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.29.400
  • 1.28.900

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-038

Data de publicação: 26/06/2024
Data de atualização: 17/09/2024
Referência: CVE-2024-26924

Atualização de 17/09/2024: foram adicionadas versões de patch para o GDC (VMware).

Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE

Atualização: 2024-08-06

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.15-gke.1252000
  • 1.28.11-gke.1260000
  • 1.29.6-gke.1326000
  • 1.30.2-gke.1394003

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GDC (VMware)

Atualização: 2024-09-17

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

O que fazer?

Atualização de 17/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.29.400
  • 1.28.800
  • 1.16.11

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

O que fazer?

Pendente

GDC (bare metal)

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

O que fazer?

Nenhuma ação é necessária. O software do GDC para bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-036

Data de publicação: 2024-06-18
Referência: CVE-2024-26584

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-035

Data de publicação: 12/06/2024
Data de atualização: 18/07/2024
Referência: CVE-2024-26584

Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE e adicionamos uma versão de patch para a versão 1.27 em pools de nós do Container-Optimized OS.

GKE

Atualização: 2024-07-18

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 18/07/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

A versão a seguir do GKE foi atualizada com o código para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade dos seus pools de nós do Container-Optimized OS para a versão de patch a seguir ou mais recente:

  • 1.27.15-gke.1125000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

As versões secundárias a seguir são afetadas, mas não têm uma versão de patch disponível. Este boletim será atualizado quando as versões de patch estiverem disponíveis:

  • 1,26
  • 1,27

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-034

Data de publicação: 11/06/2024
Data de atualização: 10/07/2024
Referência: CVE-2024-26583

Atualização de 10/07/2024: foram adicionadas versões de patch para nós do Container-Optimized OS executando a versão secundária 1.26 e 1.27 e versões de patch para nós do Ubuntu.

GKE

Atualização: 2024-07-10

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 10/07/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

Para as versões secundárias 1.26 e 1.27, faça upgrade dos pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recentes:

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-033

Data de publicação: 10/06/2024
Data de atualização: 26/09/2024
Referência: CVE-2022-23222

Atualização de 26/09/2024: foram adicionadas versões de patch para o GDC (VMware).

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Atualização: 2024-09-26

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

O que fazer?

Atualização de 26/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.28.900-gke.113
  • 1.29.400-gke.8

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-031

Data de publicação: 24/05/2024
Referência: CVE-2024-4323

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas.

O GKE não usa uma versão vulnerável do Fluent Bit e não é afetado.

O que fazer?

O GKE não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas.

O GKE no VMware não usa uma versão vulnerável do Fluent Bit e não é afetado.

O que fazer?

O GKE no VMware não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas.

O GKE na AWS não usa uma versão vulnerável do Fluent Bit e não é afetado.

O que fazer?

O GKE na AWS não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas.

O GKE no Azure não usa uma versão vulnerável do Fluent Bit e não é afetado.

O que fazer?

O GKE no Azure não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de código. As versões 2.0.7 a 3.0.3 do Fluent Bit foram afetadas.

O GKE em Bare Metal não usa uma versão vulnerável do Fluent Bit e não é afetado.

O que fazer?

O GKE em bare metal não é afetado por essa vulnerabilidade. Nenhuma ação é necessária.

Nenhum

GCP-2024-030

Data de publicação: 15/05/2024
Data de atualização: 18/07/2024
Referência: CVE-2023-52620

Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE

Atualização: 2024-07-18

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 18/07/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-029

Data de publicação: 14/05/2024
Data de atualização: 19/08/2024
Referência: CVE-2024-26642

Atualização de 19/08/2024: adição de versões de patch para nós do Ubuntu.

GKE

Atualização: 2024-08-19

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 19/08/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-028

Data de publicação: 13/05/2024
Data de atualização: 22/05/2024
Referência: CVE-2024-26581

Atualização de 22/05/2024: adição de versões de patch para nós do Ubuntu.

GKE

Atualização: 2024-05-22

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 22/05/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-027

Data de publicação: 08/05/2024
Data de atualização: 25/09/2024
Referência: CVE-2024-26808

Atualização de 25/09/2024: foram adicionadas versões de patch para o GDC (VMware).

Atualização de 15/05/2024: adicionamos versões de patch para os pools de nós do GKE Ubuntu.

Atualização de 09/05/2024: corrigimos a gravidade de Média para Alta e esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

GKE

Atualização: 2024-05-09, 2024-05-15

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

Atualização de 09/05/2024: a gravidade foi corrigida de média para alta. O boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.


Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 15/05/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Atualização: 2024-09-25

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

O que fazer?

Atualização de 25/09/2024: as seguintes versões do software GDC para VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade do software do GDC para clusters do VMware para as versões a seguir ou mais recentes:

  • 1.28.600
  • 1.16.9

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-026

Data de publicação: 07/05/2024
Data de atualização: 06/08/2024
Referência: CVE-2024-26643

Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

Atualização de 09/05/2024: a gravidade foi corrigida de média para alta.

GKE

Atualização: 2024-08-06

Descrição Gravidade

Atualização de 09/05/2024: a gravidade foi corrigida de média para alta.


As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.27.15-gke.1252000
  • 1.28.11-gke.1260000
  • 1.29.6-gke.1326000
  • 1.30.2-gke.1394003

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-024

Data de publicação: 25/04/2024
Data de atualização: 18/07/2024
Referência: CVE-2024-26585

Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE.

GKE

Atualização: 2024-07-18

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 18/07/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-022

Data de publicação: 03/04/2024
Data de atualização: 17/07/2024
Referência: CVE-2023-45288

Atualização de 17/07/2024: adicionamos versões de patch para o GKE no VMware.
Atualização de 09/07/2024: adição de versões de patch para o GKE em Bare Metal.
Atualização de 24/04/2024: adição de versões de patch para o GKE.

GKE

Atualização: 2024-04-24

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados.

Os clusters do GKE Autopilot e Standard foram afetados.

O que fazer?

Atualização de 24/04/2024: adicionamos versões de patch para o GKE.

As seguintes versões do GKE incluem os patches de segurança do Golang para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GKE para as seguintes versões ou mais recentes:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando as versões do GKE que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Para mitigar, configure as redes autorizadas para acesso ao plano de controle:

É possível mitigar os clusters contra esse tipo de ataque configurando as redes autorizadas. Siga as instruções para ativar as redes autorizadas em um cluster.

Para saber mais sobre como as redes autorizadas controlam o acesso ao plano de controle, consulte Como as redes autorizadas funcionam. Para conferir o acesso à rede autorizado padrão, consulte a tabela na seção Acesso aos endpoints do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes.

Alto

GKE no VMware

Atualização: 2024-07-17

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que fazer?

Atualização de 17/07/2024: adicionamos versões de patch para o GKE no VMware.

As seguintes versões do GKE no VMware incluem um código para corrigir essa vulnerabilidade. Faça upgrade do GKE em clusters do VMware para as seguintes versões ou mais recentes:

  • 1.29.0
  • 1.28.500
  • 1.16.8

O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando o GKE nas versões do VMware que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes.

Alto

GKE na AWS

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que fazer?

O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando as versões do GKE na AWS que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes.

Alto

GKE no Azure

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que fazer?

O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando as versões do GKE no Azure que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes.

Alto

GKE em bare metal

Atualização: 2024-07-09

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

O que fazer?

Atualização de 09/07/2024: adicionamos versões de patch para o GKE em Bare Metal.

As seguintes versões do GKE em bare metal incluem código para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GKE em Bare Metal para as seguintes versões ou mais recentes:

  • 1.29.100
  • 1.28.600
  • 1.16.9

O projeto Golang lançou patches em 3 de abril de 2024. Este boletim será atualizado quando as versões do GKE em Bare Metal que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes.

Alto

GCP-2024-018

Data de publicação: 12/03/2024
Data de atualização: 06/05/2024
Referência: CVE-2024-1085

Atualização de 06/05/2024: adicionamos versões de patch para os pools de nós do GKE Ubuntu e removemos um elemento de linha horizontal extra da atualização de 04/04/2024.

Atualização de 4 de abril de 2024: corrigimos as versões mínimas para os pools de nós do Container-Optimized OS do GKE.

GKE

Atualização: 2024-05-06

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 06/05/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as seguintes versões ou mais recentes:

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

Atualização de 4 de abril de 2024: corrigimos as versões mínimas para os pools de nós do Container-Optimized OS do GKE.

As versões mínimas do GKE que contêm as correções do Container-Optimized OS listadas anteriormente estavam incorretas. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade dos seus pools de nós do Container-Optimized OS para as versões a seguir ou mais recentes:

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-017

Data de publicação: 06/03/2024
Referência: CVE-2023-3611

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-014

Data de publicação: 26/02/2024
Referência: CVE-2023-3776

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-013

Data de publicação: 23/02/2024
Referência: CVE-2023-3610

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-012

Data de publicação: 20/02/2024
Referência: CVE-2024-0193

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-011

Data de publicação: 15/02/2024
Referência: CVE-2023-6932

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-010

Data de publicação: 14/02/2024
Data de atualização: 17/04/2024
Referência: CVE-2023-6931

Atualização de 17/04/2024: adicionamos versões de patch para o GKE no VMware.

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6931

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Atuaalização: 2024-04-17

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6931

O que fazer?

Atualização de 17/04/2024: adicionamos versões de patch para o GKE no VMware.


O código das seguintes versões do GKE na VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes:

  • 1.28.200
  • 1.16.6
  • 1.15.10


Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6931

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6931

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6931

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-008

Data de publicação: 12/02/2024
Referência: CVE-2023-5528

GKE

Descrição Gravidade

O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós.

Os clusters do GKE Standard que executam nós do Windows Server e usam um plug-in de armazenamento na árvore podem ser afetados.

Os clusters do GKE Autopilot e os pools de nós do GKE que usam o GKE Sandbox não são afetados, porque não oferecem suporte a nós do Windows Server.

O que fazer?

Determine se há nós do Windows Server em uso nos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Verifique os registros de auditoria para encontrar evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados para determinar se essa vulnerabilidade está sendo explorada. Eventos de criação de volume persistente com campos de caminho local contendo caracteres especiais são uma forte indicação de exploração.

Atualize o cluster do GKE e os pools de nós para uma versão com patch. As seguintes versões do GKE foram atualizadas para corrigir essa vulnerabilidade. Mesmo que você tenha ativado o upgrade automático de nós, recomendamos que você faça upgrade manualmente dos clusters e dos pools de nós do Windows Server para uma das seguintes versões do GKE ou mais recentes:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Quais vulnerabilidades são corrigidas por esse patch?

O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós.

Alto

GKE no VMware

Descrição Gravidade

O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós.

O GKE em clusters do VMware que executam nós do Windows Server e usam um plug-in de armazenamento na árvore podem ser afetados.

O que fazer?

Determine se há nós do Windows Server em uso nos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Verifique os registros de auditoria para encontrar evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados para determinar se essa vulnerabilidade está sendo explorada. Eventos de criação de volume persistente com campos de caminho local contendo caracteres especiais são uma forte indicação de exploração.

Atualize o cluster do GKE no VMware e os pools de nós para uma versão com patch. As seguintes versões do GKE na VMware foram atualizadas para corrigir essa vulnerabilidade. Mesmo que você tenha ativado o upgrade automático de nós, recomendamos que você faça upgrade manualmente dos clusters e dos pools de nós do Windows Server para uma das seguintes versões do GKE no VMware ou mais recentes:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Quais vulnerabilidades são corrigidas por esse patch?

O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós.

Alto

GKE na AWS

Descrição Gravidade

O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós.

Os clusters do GKE na AWS não são afetados.

O que fazer?

Nenhuma ação necessária

Nenhum

GKE no Azure

Descrição Gravidade

O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós.

O GKE nos clusters do Azure não é afetado.

O que fazer?

Nenhuma ação necessária

Nenhum

GKE em bare metal

Descrição Gravidade

O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós.

Os clusters do GKE em bare metal não são afetados.

O que fazer?

Nenhuma ação necessária

Nenhum

GCP-2024-005

Data de publicação: 31/01/2024
Data de atualização: 06/05/2024
Referência: CVE-2024-21626

Atualização de 06/05/2024: adição de versões de patch para o GKE na AWS e no Azure.
Atualização de 02/04/2024: adição de versões de patch para o GKE em Bare Metal
Atualização de 06/03/2024: adição de versões de patch para o GKE no VMware
Atualização de 28/02/2024: adição de versões de patch para o Ubuntu
Atualização de 15/02/2024: esclarecimento de que as versões de patch 1.25 e 1.26 do Ubuntu na atualização de 14/02/2024 podem causar nós inativos.
Atualização de 14/02/2024: adição de versões de patch para o Ubuntu
Atualização de 06/02/2024: adição de versões de patch para o Container-Optimized OS.

GKE

Atualização: 2024-03-06

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no runc, em que um usuário com permissão para criar pods no Container-Optimized OS e em nós do Ubuntu pode ter acesso total ao sistema de arquivos do nó.

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 28/02/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das versões de patch a seguir ou mais recente:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Atualização de 15/02/2024: devido a um problema, as seguintes versões de patch do Ubuntu da atualização de 14/02/2024 podem fazer com que seus nós entrem em um estado inadequado. Não faça upgrade para as versões de patch a seguir. Este boletim será atualizado quando versões de patch mais recentes do Ubuntu estiverem disponíveis para 1.25 e 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Se você já fez upgrade para uma dessas versões de patch, faça downgrade manual do pool de nós para uma versão anterior no canal de lançamento.


Atualização de 14/02/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das versões de patch a seguir ou mais recente:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Atualização de 06/02/2024: as versões do GKE a seguir foram atualizadas com o código para corrigir essa vulnerabilidade no Container-Optimized OS. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente do cluster e dos pools de nós do Container-Optimized OS para uma das seguintes versões do GKE ou mais recentes:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.


Estamos atualizando o GKE com código para corrigir essa vulnerabilidade. Este boletim será atualizado quando as versões de patch estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram vazados acidentalmente para o processo runc init executado em um contêiner. O runc também não verificava se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem do contêiner. Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e da falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alto

GKE no VMware

Atualização: 2024-03-06

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no runc, em que um usuário com permissão para criar pods no Container-Optimized OS e em nós do Ubuntu pode ter acesso total ao sistema de arquivos do nó.

O que fazer?

Atualização de 06/03/2024: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes:

  • 1.28.200
  • 1.16.6
  • 1.15.9

As versões de patch e uma avaliação de gravidade para o GKE no VMware estão em andamento. Vamos atualizar este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram vazados acidentalmente para o processo runc init executado em um contêiner. O runc também não verificava se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem do contêiner. Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e da falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alto

GKE na AWS

Atualização: 2024-05-06

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no runc, em que um usuário com permissão para criar pods no Container-Optimized OS e em nós do Ubuntu pode ter acesso total ao sistema de arquivos do nó.

O que fazer?

Atualização de 06/05/2024: as versões do GKE na AWS a seguir foram atualizadas com patches para CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

As versões de patch e uma avaliação de gravidade para o GKE na AWS estão em andamento. Vamos atualizar este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram vazados acidentalmente para o processo runc init executado em um contêiner. O runc também não verificava se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem do contêiner. Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e da falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alto

GKE no Azure

Atualização: 2024-05-06

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no runc, em que um usuário com permissão para criar pods no Container-Optimized OS e em nós do Ubuntu pode ter acesso total ao sistema de arquivos do nó.

O que fazer?

Atualização de 06/05/2024: as versões do GKE no Azure a seguir foram atualizadas com patches para CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

As versões de patch e uma avaliação de gravidade para o GKE no Azure estão em andamento. Vamos atualizar este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram vazados acidentalmente para o processo runc init executado em um contêiner. O runc também não verificava se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem do contêiner. Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e da falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alto

GKE em bare metal

Atualização: 2024-04-02

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta no runc, em que um usuário com permissão para criar pods pode ter acesso total ao sistema de arquivos do nó.

O que fazer?

Atualização de 02/04/2024: as seguintes versões do GKE em bare metal foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes:

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

As versões de patch e uma avaliação de gravidade para o GKE em Bare Metal estão em andamento. Vamos atualizar este boletim com essas informações quando elas estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivo foram vazados acidentalmente para o processo runc init executado em um contêiner. O runc também não verificava se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem do contêiner. Uma imagem de contêiner maliciosa ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e da falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alto

GCP-2024-004

Data de publicação: 24/01/2024
Data de atualização: 07/02/2024
Referência: CVE-2023-6817

Atualização de 07/02/2024: adição de versões de patch para o Ubuntu.

GKE

Atualização: 2024-02-07

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6817

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 7 de fevereiro de 2024: as versões secundárias a seguir foram afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6817

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6817

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6817

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-6817

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2024-003

Publicado: 19/01/2024
Atualizado: 26/01/2024
Atualização de 26/01/2024: esclarecimento sobre o número de clusters afetados e as ações que tomamos para ajudar a reduzir o impacto.

GKE

Atualização: 2024-01-26

Descrição Gravidade

Atualização de 26 de janeiro de 2024: foi publicada uma pesquisa de segurança que encontrou um pequeno número de clusters do GKE com uma configuração incorreta criada pelo cliente envolvendo o grupo system:authenticated. A postagem do blog do pesquisador se refere a 1.300 clusters com algumas vinculações configuradas incorretamente e 108 com privilégios elevados. Trabalhamos em parceria com os clientes afetados para notificá-los e ajudar a remover as vinculações com configuração incorreta.


Identificamos vários clusters em que os usuários concederam privilégios do Kubernetes ao grupo system:authenticated, que inclui todos os usuários com uma conta do Google. Esses tipos de vinculações não são recomendadas porque violam o princípio de privilégio mínimo e concedem acesso a grupos muito grandes de usuários. Consulte as orientações em "O que devo fazer" para instruções sobre como encontrar esses tipos de vinculações.

Recentemente, um pesquisador de segurança relatou descobertas de clusters com configurações incorretas de RBAC pelo nosso programa de denúncia de vulnerabilidades.

O Google busca tornar a autenticação no Google Cloud e no GKE o mais simples e seguro possível, sem adicionar etapas de configuração complexas. A autenticação apenas nos informa quem é o usuário, já a autorização é a etapa em que o acesso é determinado. Portanto, o grupo system:authenticated no GKE que contém todos os usuários autenticados pelo provedor de identidade do Google está funcionando conforme o esperado e da mesma maneira que o identificador allAuthenticatedUsers do IAM.

Considerando isso, seguimos várias etapas para reduzir o risco de erros de autorização com os usuários e grupos integrados do Kubernetes, incluindo system:anonymous, system:authenticated e system:unauthenticated. Todos esses usuários/grupos representam um risco para o cluster se receberem permissões inadequadas. Discutimos sobre alguns ataques direcionados a configurações incorretas de RBAC e os métodos de defesa disponíveis no KubeCon de novembro de 2023.

Para proteger os usuários contra erros de autorização acidentais com esses usuários/grupos do sistema, tomamos as seguintes medidas:

  • Bloqueamos por padrão novas vinculações do ClusterRole cluster-admin altamente privilegiado ao usuário system:anonymous, ao grupo system:authenticated ou ao grupo system:unauthenticated na versão 1.28 do GKE.
  • Criamos regras de detecção na Detecção de ameaça a eventos (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) como parte do Security Command Center.
  • No Controlador de Políticas, criamos regras de prevenção configuráveis com K8sRestrictRoleBindings.
  • Enviamos notificações por e-mail a todos os usuários do GKE com vinculações a esses usuários/grupos, pedindo que eles revisem a configuração.
  • Como primeira camada de defesa, criamos recursos de autorização de rede e fizemos recomendações para restringir o acesso dos clusters à rede.
  • Aumentamos a conscientização sobre esse problema em uma palestra no Kubecon em novembro de 2023.

Os clusters que aplicam restrições de redes autorizadas têm uma primeira camada de defesa: eles não podem ser atacados diretamente pela Internet. No entanto, ainda recomendamos remover essas vinculações para defesa em profundidade e evitar erros nos controles de rede.
Observe que há vários casos em que as vinculações a usuários ou grupos do sistema do Kubernetes são usadas intencionalmente, por exemplo, para kubeadm bootstrapping, o painel do Rancher e os secrets selados pela Bitnami. Confirmamos com esses fornecedores de software que essas vinculações estão funcionando conforme esperado.

Estamos investigando maneiras de proteger ainda mais contra a configuração incorreta da RBAC do usuário com esses usuários/grupos do sistema por meio de prevenção e detecção.

O que fazer?

Para evitar vinculações novas de cluster-admin ao usuário system:anonymous, ao grupo system:authenticated ou ao grupo system:unauthenticated, os usuários podem fazer upgrade para o GKE v1.28 ou mais recente (notas da versão), em que a criação dessas vinculações é bloqueada.

As vinculações atuais precisam ser analisadas de acordo com esta orientação.

Média

GKE no VMware

Não há atualizações no momento.

GKE na AWS

Não há atualizações no momento.

GKE no Azure

Não há atualizações no momento.

GKE em bare metal

Não há atualizações no momento.

GCP-2024-002

Data de publicação: 17/01/2024
Data de atualização: 20/02/2024
Referência: CVE-2023-6111

Atualização de 20/02/2024: adicionamos versões de patch para o GKE no VMware.

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Atualização: 2024-02-20

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que fazer?

Atualização de 20/02/2024: as versões do GKE no VMware a seguir foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes: 1.28.100


Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-051

Data de publicação: 2023-12-28
Referência: CVE-2023-3609

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3609

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3609

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3609

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3609

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3609

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-050

Data de publicação: 27/12/2023
Referência: CVE-2023-3389

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3389

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3389

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3389

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3389

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3389

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-049

Data de publicação: 20/12/2023
Referência: CVE-2023-3090

GKE

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3090

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3090

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3090

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3090

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3090

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-048

Data de publicação: 15/12/2023
Data de atualização: 21/12/2023
Referência: CVE-2023-3390

Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

GKE

Atualização: 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3390

Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3390

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3390

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3390

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3390

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-047

Data da publicação: 2023-12-14

GKE

Descrição Gravidade

Um invasor que comprometeu o contêiner de registro do Fluent Bit pode combinar esse acesso com os privilégios elevados exigidos pelo Cloud Service Mesh (em clusters que o ativaram) para aumentar os privilégios no cluster. Os problemas com o Fluent Bit e o Cloud Service Mesh foram mitigados, e as correções já estão disponíveis. Essas vulnerabilidades não podem ser exploradas por conta própria no GKE e exigem um comprometimento inicial. Não temos conhecimento de casos de exploração dessas vulnerabilidades.

Esses problemas foram informados pelo nosso Programa de recompensa para descobertas de vulnerabilidades.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essas vulnerabilidades no Fluent Bit e para usuários do Cloud Service Mesh gerenciado. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE ou mais recentes:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico

Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor comprometa o contêiner de registro do Fluent Bit. Não temos conhecimento de nenhuma vulnerabilidade no Fluent Bit que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro.

O GKE usa o Fluent Bit para processar registros de cargas de trabalho executadas em clusters. O Fluent Bit no GKE também foi configurado para coletar registros de cargas de trabalho do Cloud Run. O mount de volume configurado para coletar esses registros deu ao Fluent Bit acesso a tokens da conta de serviço do Kubernetes para outros pods em execução no nó. O pesquisador usou esse acesso para descobrir um token de conta de serviço com privilégios altos para clusters com o Cloud Service Mesh ativado.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster.

Removemos o acesso do Fluent Bit aos tokens da conta de serviço e reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios em excesso.

Média

GKE no VMware

Descrição Gravidade

Apenas o GKE em clusters do VMware que usam o Cloud Service Mesh são afetados.

O que fazer?

Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro se comprometa ou sai de um contêiner ou tenha acesso raiz a um nó de cluster. Não sabemos de nenhuma vulnerabilidade que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster.

Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos.

Média

GKE na AWS

Descrição Gravidade

Somente os clusters do GKE na AWS que usam o Cloud Service Mesh são afetados.

O que fazer?

Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro se comprometa ou sai de um contêiner ou tenha acesso raiz a um nó de cluster. Não sabemos de nenhuma vulnerabilidade que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster.

Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos.

Média

GKE no Azure

Descrição Gravidade

Apenas o GKE em clusters do Azure que usam o Cloud Service Mesh são afetados.

O que fazer?

Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro se comprometa ou sai de um contêiner ou tenha acesso raiz a um nó de cluster. Não sabemos de nenhuma vulnerabilidade que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro.

O Cloud Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster.

Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos.

Média

GKE em bare metal

Descrição Gravidade

Apenas os clusters do GKE em Bare Metal que usam o Cloud Service Mesh são afetados.

O que fazer?

Se o cluster usar o Cloud Service Mesh no cluster, será necessário fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro se comprometa ou sai de um contêiner ou tenha acesso raiz a um nó de cluster. Não sabemos de nenhuma vulnerabilidade que leve a essa condição de pré-requisito para escalonamento de privilégios. Aplicamos patches a essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataques completa no futuro.

O Anthos Service Mesh exigia privilégios altos para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço do Kubernetes privilegiado do Cloud Service Mesh para aumentar os privilégios comprometidos iniciais criando um novo pod com privilégios de administrador do cluster.

Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos.

Média

GCP-2023-046

Data de publicação: 22/11/2023
Data de atualização: 04/03/2024
Referência: CVE-2023-5717

Atualização de 04/03/2024: adicionamos versões do GKE para o GKE no VMware.

Atualização de 22/01/2024: adicionamos versões de patch do Ubuntu.

GKE

Atualização: 2024-01-22

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5717

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 22/01/2024: as versões secundárias a seguir foram afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Atualização: 2024-02-29

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5717

O que fazer?

Atualização de 4 de março de 2024: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões ou mais recentes:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Alto

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5717

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5717

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5717

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-045

Data de publicação: 20/11/2023
Data de atualização: 21/12/2023
Referência: CVE-2023-5197

Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

GKE

Atualização: 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5197

Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões de patch a seguir ou mais recente:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

As versões secundárias a seguir são afetadas. Faça upgrade dos seus pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5197

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5197

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5197

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-5197

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-042

Data de publicação: 13/11/2023
Data de atualização: 15/11/2023
Referência: CVE-2023-4147

Atualização de 15/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE.

GKE

Atualização: 2023-11-15

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4147

Os clusters do GKE Standard foram afetados. Os clusters do GKE Autopilot não foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 15/11/2023: você só precisa fazer upgrade para uma das versões com patch listadas neste boletim se usar essa versão secundária nos seus nós. Por exemplo, se você usa a versão 1.27 do GKE, faça upgrade para a versão corrigida correspondente. No entanto, se você usar a versão 1.24 do GKE, não será necessário fazer upgrade para uma versão corrigida.


Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4147

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4147

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4147

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4147

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-041

Data de publicação: 2023-11-08
Data de atualização: 2023-11-21, 2023-12-05, 2023-12-21
Referência: CVE-2023-4004

Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 05/12/2023: foram adicionadas outras versões do GKE para pools de nós do Container-Optimized OS.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE

Atualização: 2023-11-21, 2023-12-05, 2023-12-21

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4004

Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 05/12/2023: algumas versões do GKE estavam ausentes. Confira a seguir uma lista atualizada das versões do GKE para as quais é possível atualizar o Container-Optimized OS:

  • 1.24.17-gke.200 ou mais recente
  • 1.25.13-gke.200 ou mais recente.
  • 1.26.8-gke.200 ou mais recente.
  • 1.27.4-gke.2300 ou mais recente
  • 1.28.1-gke.1257000 ou mais recente

Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4004

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4004

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4004

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4004

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-040

Data de publicação: 06/11/2023
Data de atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-4921

Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE

Atualização: 2023-11-21, 2023-12-21

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4921

Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4921

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4921

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4921

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4921

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-039

Data de publicação: 06/11/2023
Data de atualização: 21/11/2023, 16/11/2023
Referência: CVE-2023-4622

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

Atualização de 16/11/2023: a vulnerabilidade associada a este boletim de segurança é a CVE-2023-4622. A CVE-2023-4623 foi listada incorretamente como a vulnerabilidade em uma versão anterior do boletim de segurança.

GKE

Atualização: 2023-11-21, 2023-11-16

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

Os clusters do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alto

GKE no VMware

Atualização: 2023-11-16

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

O que fazer?

Pendente

GKE na AWS

Atualização: 2023-11-16

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

O que fazer?

Pendente

GKE no Azure

Atualização: 2023-11-16

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

O que fazer?

Pendente

GKE em bare metal

Atualização: 2023-11-16

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-038

Data de publicação: 06/11/2023
Data de atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-4623

Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE

Atualização: 2023-11-21, 2023-12-21

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4623

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-037

Data de publicação: 06/11/2023
Data de atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-4015

Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE

Atualização: 2023-11-21, 2023-12-21

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4015

Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.27.5-gke.1647000

Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4015

O que fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4015

O que fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4015

O que fazer?

Pendente

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4015

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhum

GCP-2023-035

Publicação: 26/10/2023
Atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE

Atualização: 2023-11-21, 2023-12-21

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que fazer?

Alto

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que fazer?

Alto

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que fazer?

Alto

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

Alto

GCP-2023-033

Data de publicação: 24/10/2023
Data de atualização: 21/11/2023, 21/12/2023
Referência: CVE-2023-3777

Atualização de 21/12/2023: esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados e as cargas de trabalho do GKE Sandbox não são afetadas.

Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE

Atualização: 2023-11-21, 2023-12-21

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3777

Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN. As cargas de trabalho do GKE Sandbox também não são afetadas.

Os clusters do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox são afetados.

O que fazer?

Atualização de 21/11/2023: você só vai precisar fazer upgrade para uma das versões de patch listadas neste boletim se usar essa versão secundária nos seus nós. As versões secundárias não listadas não são afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Faça upgrade dos seus pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Alto

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3777

O que fazer?

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3777

O que fazer?

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3777

O que fazer?

GKE em bare metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.

  • CVE-2023-3777

O que fazer?

Nenhuma ação é necessária. O GKE em bare metal não é afetado porque não agrupa um sistema operacional na distribuição.

GCP-2023-030

Data de publicação: 10/10/2023
Data de atualização: 20/03/2024
Referência: CVE-2023-44487, CVE-2023-39325

Atualização de 20/03/2024: adição de versões de patch para o GKE na AWS e no Azure.
Atualização de 14/02/2024: adição de versões de patch para o GKE no VMware.
Atualização de 09/11/2023: adição de CVE-2023-39325. As versões do GKE foram atualizadas com os patches mais recentes para CVE-2023-44487 e CVE-2023-39325.

GKE

Atualização: 2023-11-09

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados.

O que fazer?

Atualização de 09/11/2023: lançamos novas versões do GKE que incluem os patches de segurança do Go e do Kubernetes, para que você possa atualizar seus clusters. Nas próximas semanas, vamos lançar outras mudanças no plano de controle do GKE para atenuar ainda mais esse problema.

As seguintes versões do GKE foram atualizadas com patches para CVE-2023-44487 e CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Recomendamos que você aplique a mitigação abaixo o mais rápido possível e faça upgrade para a versão mais recente do patch quando ela estiver disponível.

Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando o lançamento do GKE estiver disponível, vamos atualizar este boletim com orientações sobre qual versão atualizar o plano de controle e também tornar os patches visíveis na postura de segurança do GKE quando estiverem disponíveis para seu cluster. Para receber uma notificação do Pub/Sub quando houver um patch para seu canal, ative as notificações do cluster.

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Para mitigar, configure as redes autorizadas para acesso ao plano de controle:

É possível adicionar redes autorizadas para clusters atuais. Para saber mais, consulte Rede autorizada para clusters atuais.

Além das redes autorizadas que você adiciona, há endereços IP predefinidos que podem acessar o plano de controle do GKE. Para saber mais sobre esses endereços, consulte Acesso aos endpoints do plano de controle. Os itens a seguir resumem o isolamento de cluster:

  • Os clusters particulares com --master-authorized-networks e os clusters baseados em PSC com --master-authorized-networks e --no-enable-google-cloud configurados são os mais isolados.
  • Os clusters públicos legados com --master-authorized-networks e clusters baseados em PSC com --master-authorized-networks e --enable-google-cloud (padrão) configurados também podem ser acessados da seguinte forma:
    • Endereços IP públicos de todas as VMs do Compute Engine no Google Cloud
    • Endereços IP do Google Cloud Platform

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do GKE.

Alto

GKE no VMware

Atualização: 2024-02-14

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE no VMware cria clusters do Kubernetes que não são acessíveis diretamente pela Internet por padrão e são protegidos contra essa vulnerabilidade.

O que fazer?

Atualização de 14/02/2024: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões de patch ou mais recentes:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Se você configurou o GKE em clusters do Kubernetes do VMware para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos que você trabalhe com o administrador do firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça upgrade para a versão mais recente do patch assim que ela estiver disponível.

Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre a versão para atualizar o plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do Kubernetes.

Alto

GKE na AWS

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE na AWS cria clusters particulares do Kubernetes que não são acessíveis diretamente pela Internet por padrão e são protegidos contra essa vulnerabilidade.

O que fazer?

Atualização de 20/03/2024: as seguintes versões do GKE na AWS foram atualizadas com patches para CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Se você configurou o GKE na AWS para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos que você trabalhe com o administrador do firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça upgrade para a versão mais recente do patch assim que ela estiver disponível.

Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre a versão para atualizar o plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do Kubernetes.

Alto

GKE no Azure

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O GKE no Azure cria clusters particulares do Kubernetes que não são acessíveis diretamente pela Internet por padrão e são protegidos contra essa vulnerabilidade.

O que fazer?

Atualização de 20/03/2024: as seguintes versões do GKE no Azure foram atualizadas com patches para a CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Se você configurou o GKE em clusters do Azure para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos que você trabalhe com o administrador do firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça upgrade para a versão mais recente do patch assim que ela estiver disponível.

Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre a versão para atualizar o plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do Kubernetes.

Alto

GKE em bare metal

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Kubernetes. O Anthos em bare metal cria clusters do Kubernetes que não são acessíveis diretamente pela Internet por padrão e são protegidos contra essa vulnerabilidade.

O que fazer?

Se você configurou o Anthos em clusters do Kubernetes para bare metal com acesso direto à Internet ou a outras redes não confiáveis, recomendamos que você trabalhe com o administrador do firewall para bloquear ou limitar esse acesso. Para saber mais, consulte a Visão geral de segurança do GKE em Bare Metal.

Recomendamos que você faça upgrade para a versão mais recente do patch assim que ela estiver disponível.

Os patches do Golang serão lançados em 10 de outubro. Quando disponível, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e fazer uma versão corrigida do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre a versão para atualizar o plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço em nós do plano de controle do Kubernetes.

Alto

GCP-2023-026

Data da publicação: 2023-09-06
Referência: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes.

Os clusters do GKE só são afetados se incluírem nós do Windows.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos seus clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

O plano de controle do GKE será atualizado na semana de 04/09/2023 para atualizar o csi-proxy para a versão 1.1.3. Se você atualizar os nós antes da atualização do plano de controle, será necessário atualizar os nós novamente após a atualização para aproveitar o novo proxy. É possível atualizar os nós novamente, mesmo sem mudar a versão do nó, executando o comando gcloud container clusters upgrade e transmitindo a flag --cluster-version com a mesma versão do GKE que o pool de nós já está executando. Use a gcloud CLI para essa solução alternativa. Isso vai causar uma atualização, independente das janelas de manutenção.

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico.

Quais vulnerabilidades são corrigidas por esse patch?

Com o CVE-2023-3676, um usuário malicioso pode criar uma especificação de pod com strings de caminho do host que contêm comandos do PowerShell. O Kubelet não tem limpeza de entrada e transmite essa string de caminho criada para o executor de comandos como um argumento em que ele executaria partes da string como comandos separados. Esses comandos seriam executados com os mesmos privilégios administrativos do Kubelet.

Com a CVE-2023-3955, o Kubelet concede aos usuários que podem criar pods a capacidade de executar código no mesmo nível de permissão do agente do Kubelet, permissões privilegiadas.

Com a CVE-2023-3893, uma falta semelhante de limpeza de entrada permite que um usuário que possa criar pods em nós do Windows que executam o kubernetes-csi-proxy aumente os privilégios de administrador nesses nós.

Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Eventos de criação de pods com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e secrets que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração.

Alto

GKE no VMware

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes.

Os clusters só são afetados se incluírem nós do Windows.

O que fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com o CVE-2023-3676, um usuário malicioso pode criar uma especificação de pod com strings de caminho do host que contêm comandos do PowerShell. O Kubelet não tem limpeza de entrada e transmite essa string de caminho criada para o executor de comandos como um argumento em que ele executaria partes da string como comandos separados. Esses comandos seriam executados com os mesmos privilégios administrativos do Kubelet.

Com a CVE-2023-3955, o Kubelet concede aos usuários que podem criar pods a capacidade de executar código no mesmo nível de permissão do agente do Kubelet, permissões privilegiadas.

Com a CVE-2023-3893, uma falta semelhante de limpeza de entrada permite que um usuário que possa criar pods em nós do Windows que executam o kubernetes-csi-proxy aumente os privilégios de administrador nesses nós.

Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Eventos de criação de pods com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e secrets que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração.

Alto

GKE na AWS

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes.

O que fazer?

O GKE na AWS não é afetado por essas CVEs. Você não precisa fazer nada.

Nenhum

GKE no Azure

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes.

O que fazer?

O GKE on Azure não é afetado por essas CVEs Você não precisa fazer nada.

Nenhum

GKE em bare metal

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário que pode criar pods em nós do Windows pode ter acesso a privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões do Kubelet para Windows e o proxy CSI do Kubernetes.

O que fazer?

O GKE em bare metal não é afetado por essas CVEs. Você não precisa fazer nada.

Nenhum

GCP-2023-018

Data de publicação: 27/06/2023
Referência: CVE-2023-2235

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS são afetados.

Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alto

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em clusters do VMware é afetado.

O que fazer?

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alto

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS são afetados.

O que fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alto

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE nos clusters do Azure é afetado.

O que fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alto

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que fazer?

Você não precisa fazer nada.

Nenhum

GCP-2023-017

Data de publicação: 26/06/2023
Data de atualização: 11/07/2023
Referência: CVE-2023-31436

Atualização de 11/07/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436.

GKE

Data de atualização: 11/07/2023

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que fazer?

Atualização de 11/07/2023: versões de patch do Ubuntu estão disponíveis.

As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alto

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em clusters do VMware é afetado.

O que fazer?

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alto

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS são afetados.

O que fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alto

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE nos clusters do Azure é afetado.

O que fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alto

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que fazer?

Você não precisa fazer nada.

Nenhum

GCP-2023-016

Data de publicação: 26/06/2023
Referência: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GKE

Descrição Gravidade

Diversas vulnerabilidades foram descobertas no Envoy, que é usado no Cloud Service Mesh (ASM). Elas foram relatadas separadamente como GCP-2023-002.

O GKE não é enviado com o ASM e não é afetado por essas vulnerabilidades.

O que fazer?

Se você instalou o ASM separadamente para os clusters do GKE, consulte GCP-2023-002.

Nenhum

GKE no VMware

Descrição Gravidade

Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Cloud Service Mesh no GKE no VMware, que permite que um invasor causa uma negação de serviço ou uma falha no Envoy. Elas foram relatadas separadamente como GCP-2023-002, mas queremos garantir que os clientes do GKE Enterprise atualizem as versões que incluem ASM.

O que fazer?

O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para um das versões do GKE no VMware a seguir:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Quais vulnerabilidades são corrigidas por esse patch?

CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy.

CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.

CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.

CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.

CVE-2023-27487: o cabeçalho x-envoy-original-path precisa ser interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

Alto

GKE na AWS

Descrição Gravidade

Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Cloud Service Mesh. Elas foram relatadas separadamente como GCP-2023-002.

O GKE na AWS não é enviado com o ASM e não é afetado.

O que fazer?

Você não precisa fazer nada.

Nenhum

GKE no Azure

Descrição Gravidade

Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Cloud Service Mesh. Elas foram relatadas separadamente como GCP-2023-002.

O GKE on Azure não é enviado com o ASM e não é afetado.

O que fazer?

Você não precisa fazer nada.

Nenhum

GKE em bare metal

Descrição Gravidade

Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Cloud Service Mesh no GKE em Bare Metal, que permite que um invasor causa uma negação de serviço ou uma falha no Envoy. Elas foram relatadas separadamente como GCP-2023-002, mas queremos garantir que os clientes do GKE Enterprise atualizem as versões que incluem ASM.

O que fazer?

O código das versões a seguir do GKE em bare metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para uma das versões do GKE em Bare Metal a seguir:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Quais vulnerabilidades são corrigidas por esse patch?

CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy.

CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.

CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.

CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.

CVE-2023-27487: o cabeçalho x-envoy-original-path precisa ser interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

Alto

GCP-2023-015

Data de publicação: 20/06/2023
Referência: CVE-2023-0468

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Na CVE-2023-0468, foi encontrada uma falha de uso após a liberação em io_uring/poll.c, em io_poll_check_events, no subcomponente de io_uring do Kernel do Linux. Essa falha pode causar uma desreferência de ponteiro NULL e, possivelmente, uma falha do sistema que leva à negação de serviço.

Média

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE no VMware usa a versão 5.4 do kernel do Linux e não é afetado por essa CVE.

O que fazer?

  • Nenhuma ação é necessária.
Nenhum

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE na AWS não é afetado por essa CVE.

O que fazer?

  • Nenhuma ação é necessária.
Nenhum

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE no Azure não é afetado por essa CVE

O que fazer?

  • Nenhuma ação é necessária.
Nenhum

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE.

O que fazer?

  • Nenhuma ação é necessária.
Nenhum

GCP-2023-014

Data de publicação: 15/06/2023
Data de atualização: 11/08/2023
Referência: CVE-2023-2727, CVE-2023-2728

Atualização de 11/08/2023: adição de versões de patch para o GKE no VMware, GKE na AWS, GKE no Azure e GKE em Bare Metal

GKE

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728).

O GKE não usa o ImagePolicyWebhook e não é afetado pela CVE-2023-2727.

Todas as versões do GKE são vulneráveis a CVE-2023-2728.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GKE no VMware

Atualização: 2023-08-11

Descrição Gravidade

Dois novos problemas de segurança foram descobertos no Kubernetes, em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O Anthos no VMware não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.

Todas as versões do Anthos no VMware são vulneráveis a CVE-2023-2728.

O que fazer?

Atualização de 11/08/2023: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters de administrador e de usuário para uma das seguintes versões do GKE no VMware:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GKE na AWS

Atualização: 2023-08-11

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos na AWS não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.
Todas as versões do Anthos na AWS são vulneráveis a CVE-2023-2728.

O que fazer?

Atualização de 11/08/2023: a versão do GKE na AWS a seguir foi atualizada com código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE na AWS:

  • 1.15.2

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GKE no Azure

Atualização: 2023-08-11

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos on Azure não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.
Todas as versões do Anthos on Azure são vulneráveis a CVE-2023-2728.

O que fazer?

Atualização de 11/08/2023: a versão do GKE no Azure a seguir foi atualizada com código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE no Azure:

  • 1.15.2

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GKE em bare metal

Atualização: 2023-08-11

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos em Bare Metal não usa ImagePolicyWebhook e não é afetado pela CVE-2023-2727.
Todas as versões do Anthos em Bare Metal são potencialmente vulneráveis à CVE-2023-2728.

O que fazer?

Atualização de 11/08/2023: as seguintes versões do Google Distributed Cloud Virtual para Bare Metal foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos nós para uma das seguintes versões do Google Distributed Cloud Virtual para Bare Metal:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GCP-2023-009

Data de publicação: 06/06/2023
Referência: CVE-2023-2878

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE não é afetado por essa CVE.

O que fazer?

Embora o GKE não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE no VMware não é afetado por essa CVE.

O que fazer?

Embora o GKE on VMware não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE na AWS não é afetado por essa CVE.

O que fazer?

Embora o GKE na AWS não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE on Azure não é afetado por essa CVE

O que fazer?

Embora o GKE on Azure não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GKE em bare metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE em bare metal não é afetado por essa CVE.

O que fazer?

Embora o GKE em Bare Metal não seja afetado, se você instalou o componente secret-store-csi-driver, atualize a instalação com uma versão com patch

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhum

GCP-2023-008

Data de publicação: 05/06/2023
Referência: CVE-2023-1872

GKE

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Alto

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que fazer?

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Alto

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que fazer?

O código das seguintes versões do GKE na AWS foi atualizado para corrigir essas vulnerabilidades:

  • 1.15.1
  • Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

    Alto

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

    O que fazer?

    As seguintes versões do GKE on Azure foram atualizadas com código para corrigir essas vulnerabilidades:

  • 1.15.1
  • Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

    Alto

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

    O GKE em bare metal não é afetado por essa CVE.

    O que fazer?

    Nenhuma ação é necessária.

    Nenhum

    GCP-2023-005

    Data de publicação: 18/05/2023
    Data de atualização: 06/06/2023
    Referência: CVE-2023-1281, CVE-2023-1829

    Atualização de 06/06/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829.

    GKE

    Data de atualização: 06/06/2023

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. Os clusters do GKE Standard são afetados.

    Os clusters do GKE Autopilot e os clusters que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 06/06/2023: versões de patch do Ubuntu estão disponíveis.

    As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de controle de tráfego do Linux (tcindex), que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alto

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alto

    GKE na AWS

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alto

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alto

    GKE em bare metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O GKE em bare metal não é afetado por essa CVE.

    O que fazer?

    Nenhuma ação é necessária.

    Nenhum

    GCP-2023-003

    Data de publicação: 11/04/2023
    Data de atualização: 21/12/2023
    Referência: CVE-2023-0240, CVE-2023-23586

    Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

    GKE

    Atualização: 21/12/2023

    Descrição Gravidade

    Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE, incluindo os clusters do Autopilot, com o COS usando o kernel do Linux versão 5.10 até 5.10.162 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados.

    O que fazer?

    As versões do GKE a seguir foram atualizadas com código para corrigir essas vulnerabilidades. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Vulnerabilidade 1 (CVE-2023-0240): uma disputa em io_uring pode levar a um detalhamento completo do contêiner na raiz do nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em io_uring/time_ns pode levar a um detalhamento completo do contêiner para a raiz no nó. As versões 5.10 do kernel do Linux são afetadas até 5.10.162.

    Alto

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE no VMware com COS que usam o Linux Kernel versão 5.10 até 5.10.162 são afetados. Os clusters do GKE Enterprise que usam imagens do Ubuntu não são afetados.

    O que fazer?

    O código das seguintes versões do GKE no VMware foi atualizado para corrigir estas vulnerabilidades:

    • 1.12.6
    • 1.13.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Vulnerabilidade 1 (CVE-2023-0240): uma disputa em io_uring pode levar a um detalhamento completo do contêiner na raiz do nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em io_uring/time_ns pode levar a um detalhamento completo do contêiner para a raiz no nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Alto

    GKE na AWS

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE na AWS não é afetado por essas CVEs.

    O que fazer?

    Nenhuma ação é necessária.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE on Azure não é afetado por essas CVEs

    O que fazer?

    Nenhuma ação é necessária.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE em bare metal não é afetado por essas CVEs.

    O que fazer?

    Nenhuma ação é necessária.

    Nenhum

    GCP-2023-001

    Data de publicação: 01/03/2023
    Data de atualização: 21/12/2023
    Referência: CVE-2022-4696

    Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

    GKE

    Descrição Gravidade

    Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos seus clusters e pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local.

    Alto

    GKE no VMware

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE no VMware que executa a v1.12 e a v1.13 é afetado. O GKE no VMware que executa a v1.14 ou mais recente não é afetado.

    O que fazer?

    O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para um das versões do GKE no VMware a seguir:

    • 1.12.5
    • 1.13.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local.

    Alto

    GKE na AWS

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE na AWS não é afetado por essa vulnerabilidade.

    O que fazer?

    Você não precisa fazer nada.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE on Azure não é afetado por essa vulnerabilidade.

    O que fazer?

    Você não precisa fazer nada.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em bare metal não é afetado por essa vulnerabilidade.

    O que fazer?

    Você não precisa fazer nada.

    Nenhum

    GCP-2022-026

    Publicado: 11-01-2023
    Referência: CVE-2022-3786, CVE-2022-3602

    GKE

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. Embora ela tenha sido avaliada como alta no banco de dados do NVD, os endpoints do GKE usam boringSSL ou uma versão mais antiga do OpenSSL que não é afetada. Portanto, a classificação foi reduzida a média para o GKE.

    O que fazer?

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3786 e a CVE-2022-3602, uma sobrecarga de buffer pode ser acionada na verificação de certificado X.509, o que pode causar uma falha que resultará em negação de serviço. Para ser explorada, essa vulnerabilidade exige que uma CA assine um certificado malicioso ou que um aplicativo continue a verificação do certificado, mesmo que não seja possível criar um caminho para um emissor confiável.

    Média

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que fazer?

    O GKE no VMware não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Nenhuma ação é necessária.

    Nenhum

    GKE na AWS

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que fazer?

    O GKE na AWS não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Nenhuma ação é necessária.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que fazer?

    O GKE on Azure não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Nenhuma ação é necessária.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que fazer?

    O GKE em Bare Metal não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Nenhuma ação é necessária.

    Nenhum

    GCP-2022-025

    Data de publicação: 21/12/2022
    Data de atualização: 19/01/2023, 21/12/2023
    Referência: CVE-2022-2602

    Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.

    GKE

    Atualização: 19/01/2023

    Descrição Gravidade

    Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

    Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para essa versão ou mais recente.


    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-optimized OS:
      • 1.22.16-gke.1300 e posterior
      • 1.23.14-gke.401 e posterior
      • 1.24.7-gke.900 e posterior
      • 1.25.4-gke.1600 e posterior
    • Ubuntu:
      • 1.22.15-gke.2500 e posterior
      • 1.23.13-gke.900 e posterior
      • 1.24.7-gke.900 e posterior
      • 1.25.3-gke.800 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alto

    GKE no VMware

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    As versões 1.11, 1.12 e 1.13 do GKE no VMware foram afetadas.

    O que fazer?

    Faça upgrade do cluster para uma versão com patch. As seguintes versões do GKE no VMware contêm um código que corrige essa vulnerabilidade:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alto

    GKE na AWS

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O que fazer?

    As seguintes versões atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS:

    • Geração atual:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Geração anterior:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alto

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O que fazer?

    O código das seguintes versões do GKE no Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alto

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição dele.

    O que fazer?

    Nenhuma ação é necessária.

    Nenhum

    GCP-2022-024

    Publicado em: 09/11/2022
    Atualizado em: 19/01/2023
    Referência: CVE-2022-2585, CVE-2022-2588

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
    Atualização de 16/12/2022: adição de versões de patch revisadas para o GKE e o GKE no VMware.

    GKE

    Atualização: 19/01/2023

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

    Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para essa versão ou mais recente.

    Atualização de 16/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.16-gke.1300 e posterior
    • 1.23.14-gke.401 e posterior
    • 1.24.7-gke.900 e posterior
    • 1.25.4-gke.1600 e posterior

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    As atualizações do GKE v1.22, 1.23 e 1.25 serão disponibilizadas em breve. Este boletim de segurança será atualizado quando estiver disponível.

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    • Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.
    • Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.
    Alto

    GKE no VMware

    Atualizado: 16/12/2022

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As versões 1.13, 1.12 e 1.11 do GKE no VMware foram afetadas.

    O que fazer?

    Atualização de 16/12/2022: as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para uma das seguintes versões do GKE no VMware:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Observação: as versões do GKE no VMware que contêm patches para o Container-Optimized OS serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    • Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.
    • Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.
    Alto

    GKE na AWS

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As seguintes versões do Kubernetes na AWS podem ser afetadas:

    • 1.23: versões anteriores à 1.23.9-gke.800. As versões secundárias mais recentes não são afetadas.
    • 1.22: versões anteriores à 1.22.12-gke.1100. As versões secundárias mais recentes não são afetadas.

    O Kubernetes V1.24 não foi afetado.

    O que fazer?

    Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Kubernetes da AWS:

    • 1.23: uma versão posterior à v1.23.9-gke.800
    • 1.22: uma versão posterior a 1.22.12-gke-1100

    Quais vulnerabilidades estão sendo resolvidas?

    Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.

    Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

    Alto

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As seguintes versões do Kubernetes no Azure podem ser afetadas:

    • 1.23: versões anteriores à 1.23.9-gke.800. As versões secundárias mais recentes não são afetadas.
    • 1.22: versões anteriores à 1.22.12-gke.1100. As versões secundárias mais recentes não são afetadas.

    O Kubernetes V1.24 não foi afetado.

    O que fazer?

    Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Azure Kubernetes:

    • 1.23: uma versão posterior à v1.23.9-gke.800
    • 1.22: uma versão posterior a 1.22.12-gke-1100

    Quais vulnerabilidades estão sendo resolvidas?

    Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.

    Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

    Alto

    GKE em bare metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    O Cloud em bare metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição dele.

    O que fazer?

    Nenhuma ação é necessária.

    Nenhum

    GCP-2022-023

    Data de publicação: 04-11-2022
    Referência: CVE-2022-39278

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Cloud Service Mesh, o que permite que um invasor ataque o plano de controle.

    O que fazer?

    O Google Kubernetes Engine (GKE) não é enviado com o Istio e não é afetado por essa vulnerabilidade. No entanto, se você instalou separadamente o Cloud Service Mesh ou o Istio no cluster do GKE, consulte GCP-2022-020, o boletim de segurança do Cloud Service Mesh nesta CVE. para mais informações.

    Nenhum

    GKE no VMware

    Descrição Gravidade

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh no GKE no VMware. Isso permite que um invasor ataque o plano de controle do Istio.

    O que fazer?

    O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para um das versões do GKE no VMware a seguir:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio istiod está vulnerável a um erro de processamento de solicitação. Ele permite que um invasor envie uma mensagem especialmente criada, o que resulta em falha no plano de controle quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não requer autenticação do invasor.

    Alto

    GKE na AWS

    Descrição Gravidade

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh, o que permite que um invasor ataque o plano de controle.

    O que fazer?

    O GKE na AWS não é afetado por essa vulnerabilidade, e nenhuma ação é necessária.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh, o que permite que um invasor ataque o plano de controle.

    O que fazer?

    O Anthos no GKE não é afetado por essa vulnerabilidade, e nenhuma ação é necessária.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Cloud Service Mesh no GKE em Bare Metal, o que permite que um invasor ataque o plano de controle do Istio.

    O que fazer?

    O código das versões a seguir do GKE em bare metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do GKE em bare metal:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio istiod está vulnerável a um erro de processamento de solicitação. Ele permite que um invasor envie uma mensagem especialmente criada, o que resulta em falha no plano de controle quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não requer autenticação do invasor.

    Alto

    GCP-2022-022-updated

    Data de publicação: 18/12/2022
    Referência: CVE-2022-20409

    GKE

    Atualizado: 14/12/2022

    Descrição Gravidade

    Uma nova vulnerabilidade CVE-2022-20409, foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Os clusters do Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, incluindo clusters do Autopilot, que usam o Container-Optimized OS versões 93 e 97 são afetados. Outras versões compatíveis do GKE não são afetadas. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 14/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.15-gke.2500 e posterior
    • 1.23.13-gke.900 e posterior
    • 1.24.7-gke.900 e posterior

    O código das versões a seguir do GKE que usam o Container-Optimized OS 93 e 97 foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.15-gke.2300 e posterior
    • 1.23.13-gke.700 e posterior
    • 1.24.7-gke.700 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Alto

    GKE no VMware

    Atualizado: 14/12/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais.

    O que fazer?

    Atualização de 14/12/2022: as versões a seguir do GKE no VMware para Ubuntu foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE no VMware:

    • 1.13.1 ou superior
    • 1.12.3 ou superior
    • 1.11.4 e posterior

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Alto

    GKE na AWS

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema.

    O que fazer?

    Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema.

    O que fazer?

    Nenhuma ação é necessária. O GKE on Azure não usa as versões afetadas do kernel do Linux.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Nenhum

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais.

    O que fazer?

    • Nenhuma ação é necessária. O GKE em Bare Metal não é afetado por essa CVE, porque não agrupa um sistema operacional na distribuição.
    Nenhum

    GCP-2022-021

    Data de publicação: 27/10/2022
    Data de atualização: 19/01/2023, 21/12/2023
    Referência: CVE-2022-3176

    Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
    Atualização de 15/12/2022: informações atualizadas de que a versão 1.21.14-gke.9400 do Google Kubernetes Engine está com lançamento pendente e pode ser substituída por um número de versão mais recente.
    Atualização de 21/11/2022: foram adicionadas versões de patch para o GKE no VMware, o GKE na AWS e o GKE no Azure.

    GKE

    Atualização: 2023-01-19, 2023-12-21

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

    Os clusters do Google Kubernetes Engine (GKE) v1.21, incluindo clusters do Autopilot, que usam o Container-Optimized OS versão 89 são afetados. As versões posteriores do GKE não são afetadas. Todos os clusters do Linux com Ubuntu são afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos pools de nós para essa versão ou mais recente.

    Atualização de 15/12/2022:a versão 1.21.14-gke.9400 está com lançamento pendente e pode ser substituída por um número de versão mais recente. Este documento vai ser atualizado quando a nova versão for disponibilizada.


    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-optimized OS:
      • 1.21.14-gke.7100 e posterior
    • Ubuntu:
      • 1.21.14-gke.9400 e posterior
      • 1.22.15-gke.2400 e posterior
      • 1.23.13-gke.800 e posterior
      • 1.24.7-gke.800 e posterior
      • 1.25.3-gke.700 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alto

    GKE no VMware

    Atualização em: 21/11/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    • As versões do GKE no VMware com o Container-Optimized OS não são afetadas.

    Atualização de 21/11/2022: as seguintes versões do GKE no VMware para Ubuntu foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE no VMware:

    • 1.12.3 ou superior
    • 1.13.1 ou superior
    • 1.11.5 ou superior

    As versões do GKE no VMware que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alto

    GKE na AWS

    Atualização em: 21/11/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    Atualização de 21/11/2022: as seguintes versões das gerações atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS:

    Geração atual
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Geração anterior
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    As versões do GKE na AWS que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alto

    GKE no Azure

    Atualização em: 21/11/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    Atualização de 21/11/2022: as seguintes versões do GKE on Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    As versões do GKE on Azure que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE on Azure estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alto

    GKE em bare metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O GKE em bare metal não é afetado por essa CVE, porque não agrupa um sistema operacional na distribuição.

    Nenhum

    GCP-2022-018

    Data de publicação: 01/08/2022
    Data de atualização: 14/09/2022, 21/12/203
    Referência: CVE-2022-2327

    Atualização de 21/12/2023 : esclarecemos que os clusters do GKE Autopilot na configuração padrão não são afetados.

    Atualização de 14/09/2022 : foram adicionadas versões de patch para o GKE no VMware, o GKE na AWS e o GKE no Azure.

    GKE

    Atualização: 21/12/2023

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Detalhes técnicos

    Atualização de 21/12/2023: o boletim original afirmava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

    Os clusters do GKE, incluindo os clusters do Autopilot, com o Container-Optimized OS (COS) que usam a versão do kernel do Linux 5.10 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados.

    O que fazer?

    Faça upgrade dos clusters do GKE para uma versão que inclui a correção. As imagens de nó do Linux para COS foram atualizadas com as versões do GKE que usam as versões do COS.

    Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça upgrade manualmente dos seus pools de nós para uma das seguintes versões do GKE:

    Versões do COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Um recurso recente dos canais de lançamentos permite que você aplique um patch sem precisar cancelar a inscrição de um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.
    Alto

    GKE no VMware

    Atualizado em: 14/09/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Os clusters com uma imagem do Container Optimized OS (COS) que usam o GKE no VMware versões 1.10, 1.11 e 1.12 são afetados.

    O que fazer?

    Atualização de 14/09/2022: as seguintes versões do GKE no VMware contêm um código que corrige essa vulnerabilidade.

    • 1.10.6 ou mais recente
    • 1.11.3 ou mais recente
    • 1.12.1 ou mais recente

    As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alto

    GKE na AWS

    Atualizado em: 14/09/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    Atualização de 14/09/2022: as seguintes versões das gerações atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS:

    Current generation

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Geração anterior

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alto

    GKE no Azure

    Atualizado em: 14/09/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    Atualização de 14/09/2022: as seguintes versões do GKE on Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alto

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição.

    Nenhum

    GCP-2022-017

    Publicação: 29/06/2022
    Atualizado em: 22/11/2022
    Referência: CVE-2022-1786
    Atualização de 22/11/2022: informações atualizadas sobre cargas de trabalho usando o GKE Sandbox.
    Atualização de 21/07/2022: informações atualizadas que o GKE nas imagens COS do VMware são afetadas.

    GKE

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades.


    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Apenas os clusters que executam o Container-Optimized OS são afetados. As versões do GKE Ubuntu usam a versão 5.4 ou 5.15 do kernel e não são afetadas.

    O que fazer?

    O código das versões do nó Linux para o Container-Optimized OS das seguintes versões do GKE foi atualizado com o objetivo de corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, é recomendável fazer upgrade manual dos seus pools de nós para uma das seguintes versões do GKE a seguir:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Um recurso recente de canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-1786, foi encontrada uma falha após o uso sem custo financeiro no subsistema io_bing do kernel do Linux. Se um usuário configurar um anel com IORING_SETUP_IOPOLL com mais de uma tarefa que conclui envios no anel, um usuário local poderá falhar ou escalonar os privilégios no sistema.

    Alto

    GKE no VMware

    Atualizado em: 14/07/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Atualização de 21/07/2022: as seguintes versões do GKE no VMware contêm códigos que corrigem essa vulnerabilidade.

    COS
    • 1.10.5 ou mais recente
    • 1.11.2 ou mais recente
    • 1.12.0 ou mais recente

    Ubuntu

    Nenhuma ação é necessária. O GKE no VMware não usa as versões afetadas do kernel do Linux.

    Nenhum

    GKE na AWS

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux.

    Nenhum

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O GKE on Azure não usa as versões afetadas do kernel do Linux.

    Nenhum

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição dele.

    Nenhum

    GCP-2022-016

    Publicação: 23/06/2022
    Atualizado em: 22/11/2022
    Referência: CVE-2022-29581, CVE-2022-29582 e CVE-2022-1116
    Atualização de 22/11/2022: informações adicionadas sobre as cargas de trabalho em execução nos clusters do Autopilot.
    Atualização de 29/07/2022: versões atualizadas para o GKE no VMware, GKE na AWS e GKE no Azure.

    GKE

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: os clusters do Autopilot não são afetados pela CVE-2022-29581, mas são vulneráveis à CVE-2022-29582 e CVE-2022-1116.


    Atualização de 29/07/2022: os pods que usam o GKE Sandbox não são suscetíveis a essas vulnerabilidades.


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Todos os clusters do Linux (Container-Optimized OS e Ubuntu) são afetados.

    O que fazer?

    As versões das imagens de nó do Linux para o Container-Optimized OS e o Ubuntu das seguintes versões do GKE foi atualizado com o código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alto

    GKE no VMware

    Atualização: 29/07/2022

    Descrição Gravidade

    Atualização de 29/07/2022: as seguintes versões do GKE no VMware contêm um código que corrige essas vulnerabilidades.

    • 1.9.7 ou mais recente
    • 1.10.5 ou mais recente
    • 1.11.2 ou mais recente
    • 1.12.0 ou mais recente


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam o GKE no VMware v1.9 e versões mais recentes para imagens do Container-Optimized OS e do Ubuntu.

    O que fazer?

    As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alto

    GKE na AWS

    Atualização: 29/07/2022

    Descrição Gravidade

    Atualização de 29/07/2022: Atualização: as seguintes versões das gerações atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS:

    Geração atual:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Geração anterior:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE na AWS.

    O que fazer?

    As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alto

    GKE no Azure

    Descrição Gravidade

    Atualização de 29/07/2022: Atualização: as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE no Azure.

    O que fazer?

    As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE on Azure estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alto

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa vulnerabilidade porque não agrupa um sistema operacional na distribuição.

    Nenhum

    GCP-2022-014

    Publicado: 26/04/2022
    Atualização: 22/11/2022
    Atualização de 22/11/2022: informações sobre cargas de trabalho em execução nos clusters do Autopilot adicionadas.
    Atualização de 12/05/2022: versões de patch atualizadas do GKE na AWS e do GKE no Azure.
    Referência: CVE-2022-1055, CVE-2022-27666

    GKE

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: os clusters e as cargas de trabalho do Autopilot do GKE em execução no GKE Sandbox não são afetados por essas vulnerabilidades.


    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE:

    • 1.19.16-gke.11000 e mais recente
    • 1.20.15-gke.5200 e mais recente
    • 1.21.11-gke.1100 e mais recente
    • 1.22.8-gke.200 e mais recente
    • 1.23.5-gke.1500 e mais recente

    Quais vulnerabilidades são corrigidas por esse patch?

    Alto

    GKE no VMware

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que fazer?

    Faça upgrade do cluster para uma versão com patch. As versões do GKE on VMware a seguir ou versões mais recentes contêm a correção dessa vulnerabilidade:

    • 1.9.6 (em breve)
    • 1.10.3
    • 1.11.0 (em breve)

    Quais vulnerabilidades são corrigidas por esse patch?

    Alto

    GKE na AWS

    Atualizado em: 12/05/2022

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que fazer?

    Atualização de 12/05/2022: as seguintes versões atuais e anteriores da geração de GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS:

    Geração atual
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Geração anterior
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alto

    GKE no Azure

    Atualizado em: 12/05/2022

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que fazer?

    Atualização de 12/05/2022: as seguintes versões GKE Anthos no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE on Azure:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alto

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE, já que não inclui o Linux como parte do pacote. Verifique se as imagens de nó usadas estão atualizadas para as versões que contêm a correção para CVE-2022-1055 e CVE-2022-27666.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alto

    GCP-2022-013

    Publicação : 11/04/2022
    Atualizado em : 20/04/2022
    Referência : CVE-2022-23648
    Atualização de 22-04-2022: versões de patch atualizadas do Google Distributed Cloud Virtual para Bare Metal e do GKE no VMware.

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu) que usam o container por padrão. Todos os nós do GKE, Autopilot e GKE Sandbox foram afetados.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manual dos seus nós para uma das seguintes versões do GKE:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico.

    Média

    GKE no VMware

    Atualização: 22-04-2022

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os GKE no VMware com o Stackdriver ativado, que usa o containerd. O GKE nas versões 1.8, 1.9 e 1.10 do VMware foram afetadas

    O que fazer?

    Atualização de 22/04/2022: as seguintes versões do GKE no VMware contêm códigos que corrigem essa vulnerabilidade.

    • 1.9.5 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE no VMware:

    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    GKE na AWS

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todos os nós do GKE nas versões da AWS são afetados.

    O que fazer?

    O código das seguintes versões do GKE na AWS foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do GKE na AWS.

    GKE na AWS (geração atual)
    • Versão 1.22: 1.22.8-gke.200
    • Versão 1.21: 1.21.11-gke.100
    GKE na AWS (geração anterior)
    • Versão 1.22: 1.22.8-gke.300
    • Versão 1.21: 1.21.11-gke.100
    • Versão 1.20: 1.20.15-gke.2200

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    GKE no Azure

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todas as versões do GKE no Azure são afetadas.

    O que fazer?

    O código das seguintes versões do GKE on Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós da seguinte maneira:

    • Versão 1.22: 1.22.8-gke.200
    • Versão 1.21: 1.21.11-gke.100

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Atualização: 22-04-2022

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os clusters do Google Distributed Cloud Virtual para Bare Metal que usam o containerd. As versões 1.8, 1.9 e 1.10 do Google Distributed Cloud Virtual para Bare Metal foram afetadas

    O que fazer?

    Atualização de 22/04/2022: as seguintes versões do Google Distributed Cloud Virtual para Bare Metal contêm um código que corrige essa vulnerabilidade.

    • 1.8.9 ou mais recente
    • 1.9.6 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    O código das seguintes versões do Google Distributed Cloud Virtual para Bare Metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos nós para uma das seguintes versões do Google Distributed Cloud Virtual para Bare Metal:

    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    GCP-2022-012

    Publicação: 2022-04-07
    Atualizado em: 2022-11-22
    Referência: CVE-2022-0847
    Atualização de 2022-11-22: informações atualizadas sobre cargas de trabalho que usam o sandbox do GKE.

    GKE

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades.


    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta na versão 5.8 e posterior do kernel do Linux. É possível escalonar privilégios de contêiner na raiz. Essa vulnerabilidade afeta todas as versões do pool de nós do GKE v1.22 e posteriores que usam imagens do Container-Optimized OS (Container-Optimized OS 93 e versões mais recentes). Os pools de nós do GKE que usam o SO Ubuntu não são afetados.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.7-gke.1500 e mais recente
    • 1.23.4-gke.1600 e mais recente

    Um recurso recente dos canais de lançamento permite que você aplique uma versão de patch de outros canais de lançamento sem ter que cancelar a inscrição em um canal. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas do pool de nós do GKE.

    Alto

    GKE no VMware

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta o GKE no VMware v1.10 para imagens do Container-Optimized OS. Atualmente, o GKE no VMware com Ubuntu está na versão 5.4 do kernel e não está vulnerável a esse ataque.

    O que fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e de usuário para a seguinte versão do GKE no VMware:

    • 1.10.3

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas doGKE no VMware.

    Alto

    GKE na AWS

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz.

    Essa vulnerabilidade afeta clusters gerenciados do GKE na AWS v1.21 e clusters em execução no GKE na AWS (geração anterior) v1.19, v1.20, v1.21, que usam o Ubuntu.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade.

    Para o GKE gerenciado na AWS, recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para uma das seguintes versões:

    • 1.21.11-gke.100

    Para o GKE k-kite na AWS, recomendamos que você faça upgrade dos objetos AWSManagementService, AWSCluster e AWSNodePool para a seguinte versão:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Alto

    GKE no Azure

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta os clusters gerenciados do GKE no Azure v1.21 que usam o Ubuntu.

    O que fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para a seguinte versão:

    • 1.21.11-gke.100

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Alto

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz.

    O que fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual para Bare Metal não é afetado por essa CVE, já que não inclui o Linux como parte do pacote. É preciso garantir que as imagens de nó usadas sejam atualizadas para versões que contêm a correção para CVE-2022-0847.

    Alto

    GCP-2022-011

    Publicação: 22/03/2022
    Atualizado em: 11/08/2022

    Atualização de 11/08/2022 : adicionamos mais detalhes sobre os efeitos da configuração incorreta da SMT.

    GKE

    Descrição Gravidade

    Atualização de 11/08/2022: mais informações foram adicionadas sobre a configuração de várias linhas de execução simultâneas (SMT, na sigla em inglês). O objetivo da SMT era ser desativado, mas ativado nas versões listadas.

    Se você ativou a SMT manualmente para um pool de nós no modo sandbox, a SMT permanecerá ativada manualmente, apesar desse problema.


    Há uma configuração incorreta com várias linhas de execução simultâneas (SMT, na sigla em inglês), também conhecida como Hyper-threading, nas imagens do GKE Sandbox. A configuração incorreta deixa os nós potencialmente expostos a ataques de canal lateral, como amostragem de dados de microarquitetura (MDS, na sigla em inglês). Para mais contexto, consulte a documentação do GKE Sandbox. Não recomendamos o uso das seguintes versões afetadas:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Se você tiver ativado manualmente a SMT para um pool de nós, esse problema não afetará seus nós no modo sandbox.

    O que fazer?

    Atualize os nós para uma das seguintes versões:

    • 1.22.6-gke.1500 e mais recente
    • 1.23.3-gke.1100 e mais recente

    Qual vulnerabilidade é corrigida por esse patch?

    Os nós do GKE Sandbox têm a SMT desativada por padrão, reduzindo ataques de canal lateral.

    Média

    GCP-2022-009

    Publicação: 01/03/2022
    Atualizado em: 15/03/2022

    GKE

    Descrição Gravidade

    Atualização de 15/03/2022: adição dos guias de proteção para o GKE na AWS e no Azure. Adição de uma seção sobre persistência usando webhooks.


    Alguns caminhos inesperados para acessar a VM do nó em clusters do Autopilot GKE podem ter sido usados para escalonar privilégios no cluster. Esses problemas foram corrigidos e nenhuma outra ação é necessária. As correções resolvem problemas reportados pelo nosso Programa de recompensa para descobertas de vulnerabilidades.

    Os usuários dos clusters do GKE Standard e do GKE podem aplicar uma política de aumento de proteção semelhante, conforme descrito abaixo.

    Detalhes técnicos

    Acesso ao host usando isenções de política de terceiros

    Para permitir que o Google Cloud ofereça gerenciamento completo de nós e um SLA no nível do pod, o Autopilot do GKE restringe alguns primitivos do Kubernetes altamente privilegiados para impedir que as cargas de trabalho tenham acesso de baixo nível à VM do nó. Para isso: o GKE Standard apresenta acesso total à computação subjacente, o Autopilot tem acesso limitado e o Cloud Run não tem acesso.

    O Autopilot flexibiliza algumas dessas restrições em uma lista predefinida de ferramentas de terceiros para permitir que os clientes executem essas ferramentas no Autopilot sem modificações. Com os privilégios para criar pods com ativações de caminho de host, o pesquisador conseguiu executar um contêiner privilegiado em um pod parecido com uma dessas ferramentas de terceiros autorizadas para ter acesso ao host.

    A capacidade de programar pods dessa maneira é esperada no GKE Standard, mas não no Autopilot do GKE, já que isso ignora as restrições de acesso ao host usadas para ativar o SLA descrito anteriormente.

    Esse problema foi corrigido ao reforçar a especificação de pod da lista de permissões de terceiros.

    Escalonamento de privilégios a partir da raiz no nó

    Além do acesso ao host, os pods stackdriver-metadata-agent-cluster-level e metrics-server foram identificados como altamente privilegiados. Depois de ter acesso ao nível raiz do nó, esses serviços podem ser usados para ter mais controle sobre o cluster.

    Suspendemos o uso e removemos o stackdriver-metadata-agent para o GKE Standard e o Autopilot. Esse componente ainda está em uso no GKE no VMware e no Google Distributed Cloud Virtual para Bare Metal.

    Como uma medida de aumento da proteção do sistema para evitar esse tipo de ataque no futuro, aplicaremos uma restrição do Autopilot a uma versão futura que impedirá atualizações na conta de serviço de vários objetos no namespace kube-system. Desenvolvemos uma política do Gatekeeper para você aplicar uma proteção semelhante aos clusters do GKE Standard e aos clusters do GKE, a fim de evitar a automodificação privilegiada da carga de trabalho. Esta política é aplicada automaticamente a clusters Autopilot. Para receber instruções, consulte os seguintes guias de proteção:


    Adição de 15/03/2022: persistência com o uso de webhooks mutáveis

    Os webhooks mutáveis foram usados no relatório para estabelecer uma posição privilegiada no pós-compromisso do cluster. Essas são partes padrão da API Kubernetes criadas pelos administradores do cluster e ficaram visíveis para os administradores quando o Autopilot adicionou suporte para webhooks definidos pelo cliente.


    Contas de serviço privilegiadas no namespace padrão

    Os implementadores de políticas do Autopilot permitiam duas contas de serviço no namespace padrão: csi-attacher e otelsvc para conceder privilégios especiais às contas de serviço. Um invasor com privilégios elevados, incluindo permissões para criar objetos ClusterRoleBinding e com acesso para criar pods no namespace padrão, pode usar esses nomes de conta de serviço para acessar esses privilégios adicionais. Esses serviços foram movidos para o namespace kube-system a fim de proteger a política existente do Autopilot. Os clusters do GKE Standard e do GKE não foram afetados.

    O que fazer?

    As políticas de todos os clusters do GKE Autopilot foram atualizadas para remover o acesso não intencional ao host, e nenhuma outra ação será necessária.

    Outras proteções de políticas serão aplicadas ao Autopilot nas próximas semanas como uma proteção secundária. Nenhuma ação é necessária.

    Os clusters do GKE Standard e do GKE não são afetados, pois os usuários já têm acesso ao host. Como medida de aumento de proteção do sistema, os clusters do GKE Standard e os usuários do GKE podem aplicar proteção semelhante com uma política do Gatekeeper que impede a automodificação privilegiada da carga de trabalho. Para receber instruções, consulte os seguintes guias de proteção:

    Baixa

    GCP-2022-008

    Publicada em: 23/02/2022
    Atualização: 28/04/2022
    Referência: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    Descrição Gravidade
    projeto Envoy descobriu recentemente um conjunto de vulnerabilidades, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, and CVE-2022-21656 que podem afetar os clusters do GKE que usam Anthos Service Mesh, Istio-on-GKE ou implementações Istio personalizadas.
    Todos os problemas listados abaixo foram corrigidos na versão 1.21.1 do Envoy.
    Informações técnicas
    Veja mais detalhes sobre essas vulnerabilidades neste link.

    O que fazer?

    Os clusters do GKE que executam o Anthos Service Mesh precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
    • Se você estiver usando o Anthos Service Mesh 1.12, faça upgrade para a v1.12.4-asm.0. .
    • Se você estiver usando o Anthos Service Mesh 1.11, faça upgrade para a v1.11.7-asm.1.
    • Se você estiver usando o Anthos Service Mesh 1.10, faça upgrade para a v1.10.6-asm.1.
    Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não terá mais suporte. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.10 ou superior.

    Os clusters do GKE que executam o Istio-on-GKE precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
    • Se você estiver usando o Istio-on-GKE 1.6, faça upgrade para a v1.6.14-gke.8.
    • Se você estiver usando o Istio-on-GKE 1.4.11, faça upgrade para a v1.4.11-gke.4.
    • Se você estiver usando o Istio-on-GKE 1.4.10, faça upgrade para a v1.4.10-gke.23.
    • Se você estiver usando o GKE 1.22 ou posterior, use o Istio GKE 1.4.10. Caso contrário, use o Istio-on-GKE 1.4.11.

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alto

    GKE no VMware

    Atualização: 28-04-2022

    Descrição Gravidade
    Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O GKE no VMware é afetado porque o Envoy é usado com o metrics-server. As CVEs do Envoy que estamos corrigindo estão listadas abaixo. Este boletim vai ser atualizado com versões específicas quando elas estiverem disponíveis:
    • CVE-2021-43824 (pontuação do CVSS de 6.5, média): possível referência de ponteiro nulo ao usar a correspondência do filtro safe_regex do JWT.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar o regex de filtro JWT.
    • CVE-2021-43825 (pontuação do CVSS de 6,1, média): use após a saída quando os filtros de resposta aumentarem os dados de resposta e os dados maiores excederem os limites de buffer downstream.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de descompactação.
    • CVE-2021-43826 (pontuação do CVSS de 6,1, média): use após a troca quando estabelecer um tunelamento de TCP sobre HTTP, se o downstream desconectado durante o estabelecimento upstream de conexões.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de túnel.
    • CVE-2022-21654 (pontuação do CVSS de 7,3, alta): o gerenciamento incorreto de configurações permite a reutilização da sessão de mTLS sem revalidação depois que as configurações de validação são alteradas.
      Observação: todos os serviços de ASM/Istio-on-GKE que usam mTLS são afetados por essa CVE.
    • CVE-2022-21655 (pontuação do CVSS de 7.5, alta): processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar um filtro de resposta direta.
    • CVE-2022-23606 (pontuação do CVSS de 4.4, média): esgotamento da pilha quando um cluster é excluído pelo serviço de descoberta de clusters.
      Observação: o ASM 1.11+ é afetado por esta CVE. O ASM 1.10 e todo o Istio-on-GKE não foram afetados por esta CVE.
    • CVE-2022-21657 (pontuação do CVSS de 3,1: baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade de exploração remota devido ao erro uso de chave estendido X.509 e desvio de finalidades de confiança.
    • CVE-2022-21656 (pontuação do CVSS de 3,1, baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade que pode ser explorada remotamente devido ao desvio de correspondência do X.509 subjectAltName (e nameConstraints).

    O Istio lançou recentemente uma correção de vulnerabilidade de segurança. O Anthos no VMware foi afetado porque o Istio é usado para entrada. As CVEs do Istio que estamos corrigindo estão listadas abaixo. Este boletim vai ser atualizado com versões específicas quando elas estiverem disponíveis.

    CVE-2022-23635 (pontuação do CVSS de 7.5, alta): o Istiod falha ao receber solicitações com um cabeçalho "authorization" especialmente criado.


    Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança.

    Adição de 28-04-2022: o que devo fazer?

    As seguintes versões do GKE no VMware corrigem essas vulnerabilidades:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alto

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade
    Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O Anthos em bare metal é afetado porque o Envoy é usado para Metrics-server. As CVEs do Envoy que estamos corrigindo nas versões 1.10.3, 1.9.6 e 1.8.9 estão listadas abaixo:
    • CVE-2021-43824 (pontuação do CVSS de 6.5, média): possível referência de ponteiro nulo ao usar a correspondência do filtro safe_regex do JWT.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar o regex de filtro JWT.
    • CVE-2021-43825 (pontuação do CVSS de 6,1, média): use após a saída quando os filtros de resposta aumentarem os dados de resposta e os dados maiores excederem os limites de buffer downstream.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de descompactação.
    • CVE-2021-43826 (pontuação do CVSS de 6,1, média): use após a troca quando estabelecer um tunelamento de TCP sobre HTTP, se o downstream desconectado durante o estabelecimento upstream de conexões.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de túnel.
    • CVE-2022-21654 (pontuação do CVSS de 7,3, alta): o gerenciamento incorreto de configurações permite a reutilização da sessão de mTLS sem revalidação depois que as configurações de validação são alteradas.
      Observação: todos os serviços de ASM/Istio-on-GKE que usam mTLS são afetados por essa CVE.
    • CVE-2022-21655 (pontuação do CVSS de 7.5, alta): processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar um filtro de resposta direta.
    • CVE-2022-23606 (pontuação do CVSS de 4.4, média): esgotamento da pilha quando um cluster é excluído pelo serviço de descoberta de clusters.
      Observação: o ASM 1.11+ é afetado por esta CVE. O ASM 1.10 e todo o Istio-on-GKE não foram afetados por esta CVE.
    • CVE-2022-21657 (pontuação do CVSS de 3,1: baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade de exploração remota devido ao erro uso de chave estendido X.509 e desvio de finalidades de confiança.
    • CVE-2022-21656 (pontuação do CVSS de 3,1, baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade que pode ser explorada remotamente devido ao desvio de correspondência do X.509 subjectAltName (e nameConstraints).
    O Istio lançou recentemente uma correção de vulnerabilidade de segurança. O Anthos em Bare Metal é afetado porque o Istio é usado para entrada. A CVE do Istio que estamos corrigindo nas versões 1.10.3, 1.9.6 e 1.8.9 está listada abaixo:

    • CVE-2022-23635 (pontuação do CVSS de 7.5, alta): o Istiod falha ao receber solicitações com um cabeçalho "authorization" especialmente criado.
      Observação: todo o ASM/Istio-on-GKE é afetado por esta CVE.

    Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança.

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alto

    GCP-2022-006

    Publicação : 14/02/2022
    Atualizado em: 16/05/2022
    16/05/2022 Atualização: o GKE versão 1.19.16-gke.7800 ou posterior foi adicionado à lista de versões que têm código para corrigir essa vulnerabilidade.
    Atualização de 12/05/2022: versões de patch atualizadas do GKE, do Google Distributed Cloud Virtual para Bare Metal, do GKE no VMware e do GKE na AWS. Correção de um problema em que o boletim de segurança para clusters do GKE na AWS não era exibido quando foi adicionado em 23/02/2022.

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que fazer?

    Atualização de 16/05/2022: além das versões do GKE mencionadas na atualização de 12/05/2022, a versão 1.19.16-gke.7800 ou posterior do GKE também contém o código que corrige essa vulnerabilidade.


    Atualização de 12/05/2022: as seguintes versões do GKE contêm código que corrige essa vulnerabilidade:

    • 1.20.15-gke.5600 ou mais recente
    • 1.21.11-gke.1500 ou mais recente
    • 1.22.8-gke.1800 ou mais recente
    • 1.23.5-gke.1800 ou mais recente

    Atualização de 15/02/2022: a instrução gVisor foi corrigida.

    A vulnerabilidade é encontrada no cgroup_release_agent_write do kernel do Linux na função kernel/cgroup/cgroup-v1.c e pode ser usada como uma interrupção do contêiner. O GKE não é afetado devido à proteção do perfil AppArmor padrão no Ubuntu e no COS. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativar/alterar o perfil do AppArmor, o que não é recomendado. Além do perfil padrão do AppArmor, esses recursos também protegem contra a vulnerabilidade:

    • O Autopilot do GKE não foi afetado devido ao perfil seccomp padrão.
    • Atualização de 15/02/2022: o gVisor (GKE Sandbox) não foi afetado, já que o gVisor não permite acesso à chamada de sistema vulnerável no host.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando estiver disponível.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que fazer?

    Atualização de 12/05/2022: as seguintes versões do GKE no VMware contêm código que corrige essa vulnerabilidade.

    COS
    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente
    • 1.11.0 ou mais recente
    Ubuntu
    • 1.9.6 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    A vulnerabilidade é encontrada na função cgroup_release_agent_write do kernel do Linux na função kernel/cgroup/cgroup-v1.c e pode ser usada como uma saída de contêiner. O GKE no VMware não é afetado devido à proteção do perfil padrão AppArmor no Ubuntu e no COS. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança em pods por meio da modificação do pod ou do contêiner do securityContext, por exemplo, desativar/alterar o perfil do AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    GKE na AWS

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que fazer?

    Atualização de 12/05/2022: as seguintes versões de clusters do GKE da geração atual e anterior na AWS contêm um código que corrige essa vulnerabilidade:

    Geração atual
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Geração anterior
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Atualização de 23/02/2022: adição de uma observação para o GKE na AWS.

    O GKE na AWS anterior e nas gerações atuais não é afetado devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    GKE Enterprise em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que fazer?

    Atualização de 12/05/2022: as seguintes versões do GKE no Azure contêm um código que corrige essa vulnerabilidade:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    O GKE no Azure não é afetado devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    GCP-2022-005

    Data de publicação: 11/02/2022
    Atualizado em: 15/02/2022
    Referência: CVE-2021-43527

    GKE

    Descrição Gravidade
    Atualização de 15/02/2022: algumas versões do GKE mencionadas no boletim original foram combinadas com outras correções e tiveram os números de versão incrementados antes do lançamento. Os patches estão disponíveis nas seguintes versões do GKE:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. As imagens do GKE COS e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. O impacto depende de como o NSS é usado/configurado.

    O GKE não usa o libnss3 para nenhuma API acessível pela Internet. O impacto é limitado ao código no host em execução fora dos contêineres, o que é pequeno devido ao design mínimo do Chrome OS. O código do GKE em execução dentro de contêineres usando a imagem base de golang distroless não é afetado.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do GKE:

    • Versão 1.18 a ser determinada
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Você está usando uma versão do GKE anterior à 1.18? Você está usando uma versão do GKE fora do SLA e precisa considerar fazer upgrade para uma das versões compatíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Média

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificado ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como eles configuram o NSS. As imagens do GKE no VMware COS e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS \#7, or PKCS \#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. O Anthos no VMware não usa o libnss3 para nenhuma API acessível publicamente. Portanto, o impacto é limitado, e a gravidade do CVE para o GKE no VMware é classificada como Média.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do Anthos foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do Anthos:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Você está usando uma versão do GKE no VMware anterior à 1.18? Você está usando uma versão do Anthos fora do SLA e precisa fazer upgrade para uma das versões compatíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Média

    GKE Enterprise em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. Os clusters do Anthos em imagens do Azure Ubuntu têm uma versão vulnerável instalada, e precisam receber patches.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. Os clusters do Anthos no Azure não usam libnss3 para nenhuma API publicamente acessível. Portanto, o impacto é limitado, e a gravidade da CVE para o Anthos no Azure é classificada como "Média".

    O que fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do Anthos no Azure:

    • v1.21.6-gke.1500

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Média

    GCP-2022-004

    Data de publicação: 04/02/2022
    Referência: CVE-2021-4034

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    O que fazer?

    O GKE não é afetado porque o módulo vulnerável, policykit-1, não está instalado nas imagens do COS ou do Ubuntu usadas no GKE. Nenhuma ação é necessária.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    A configuração padrão do GKE Enterprise já oferece privilégios "sudo" completos aos usuários. Por isso, essa exploração não muda a postura de segurança atual do GKE Enterprise

    Detalhes técnicos

    Para que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no VMware inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite sudo sem senha para qualquer pessoa que já tenha acesso ao shell. Portanto, essa vulnerabilidade não concede a um usuário mais privilégios do que a que ele já tem.

    O que fazer?

    Você não precisa fazer nada. O GKE no VMware não é afetado.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade
    O GKE na AWS não é afetado. O módulo vulnerável, policykit-1, não está instalado nas imagens do Ubuntu usadas pelas versões atuais e anteriores do GKE na AWS. Nenhum

    GKE Enterprise em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    A configuração padrão do GKE Enterprise já oferece privilégios "sudo" completos aos usuários. Por isso, essa exploração não muda a postura de segurança atual do GKE Enterprise

    Detalhes técnicos

    Para que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no Azure inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite sudo sem senha para qualquer pessoa que já tenha acesso ao shell. Portanto, essa vulnerabilidade não concede a um usuário mais privilégios do que a que ele já tem.

    O que fazer?

    Você não precisa fazer nada. O GKE no Azure não foi afetado.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade
    O Google Distributed Cloud Virtual para Bare Metal pode ser afetado dependendo dos pacotes instalados no sistema operacional gerenciado pelo cliente. Verifique as imagens do SO e corrija-as, se necessário. Nenhum

    GCP-2022-002

    Publicação : 01/02/2022
    Atualizado em : 07/03/2022
    Referência:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Atualização de 04/02/2022: seções adicionadas para GKE na AWS e GKE no Azure. Atualizações de lançamento adicionadas para o GKE e o GKE no VMware.

    GKE

    Atualizado em: 07/03/2022

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure.

    Os pods que usam o GKE Sandbox não são vulneráveis a essas vulnerabilidades.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    O caminho de exploração dessa vulnerabilidade que depende do syscall "unshare" é bloqueado em clusters do GKE Autopilot por padrão usando o filtro seccomp.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que fazer?

    Atualização de 07/03/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir todas essas vulnerabilidades para as imagens do Ubuntu e do COS. Faça upgrade do plano de controle e dos nós para uma destas versões do GKE:

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Atualização de 25/02/2022: se você usar imagens de nó do Ubuntu, o 1.22.6-gke.1000 não se destina à CVE-2021-22600. Este boletim será atualizado com as versões de patch do Ubuntu assim que estiverem disponíveis.


    Atualização de 23/02/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Atualização de 04/02/2022: a data de início do lançamento das versões de patch do GKE foi 2 de fevereiro.


    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    As versões 1.22 e 1.23 também estão em andamento. Este boletim será atualizado com versões específicas quando elas estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    Alto

    Clusters do GKE em

    Atualização: 23/02/2022

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que fazer?

    Atualização de 23/02/2022: a versão 1.10.2 (corrige a CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) em 1º de março.

    Atualização de 23/02/2022: versões com patch corrigidas da CVE-2021-2260.

    A versão 1.10.1 não resolve a CVE-2021-22600, mas aborda as outras vulnerabilidades. As versões 1.9.4 e 1.10.2, ambos não lançadas, são relacionadas à CVE-2021-22600. As versões das imagens de nó do Linux para as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE no VMware:

    • 1.10.1 (corrige a CVE-2021-4154 e a CVE-2022-0185). lançada em 10 de fevereiro)
    • 1.8.7 (corrige a CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185). lançada em 17 de fevereiro)
    • 1.9.4 (corrige a CVE-2021-22600, a CVE-2021-4154 e a CVE-2022-0185). lançada em 23 de fevereiro)
    • 1.10.2 (corrige a CVE-2021-22600, a CVE-2021-4154 e a CVE-2022-0185). (programada para 24 de fevereiro)

    Atualização de 04/02/2022: informações adicionadas sobre as imagens do Ubuntu que não abordam a CVE-2021-22600.

    As versões de imagens de nó do Linux para as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE no VMware:

    • 1.10.1 (apenas atualização do COS). O patch do Ubuntu será 1.10.2 programado para 23 de fevereiro
    • 1.9.4 (programado para 15 de fevereiro)
    • 1.8.7 (programado para 15 de fevereiro)

    Qual vulnerabilidade é corrigida por esse patch?

    Alto

    Clusters do GKE em

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que fazer?

    GKE na AWS

    As versões de imagens de nó do Linux para as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE na AWS:

    • 1.21.6-gke.1500 e mais recentes (disponível em fevereiro)

    GKE na AWS (geração anterior)

    As versões das imagens de nó do Linux para as seguintes versões do GKE na AWS (geração anterior) foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE na AWS (geração anterior):

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Qual vulnerabilidade é corrigida por esse patch?

    Alto

    GKE Enterprise em

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais do nó (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE no Azure:

    • 1.21.6-gke.1500 e mais recentes (disponível em fevereiro)

    Qual vulnerabilidade é corrigida por esse patch?

    Alto

    GCP-2021-024

    Data de publicação: 21/10/2021
    Referência :CVE-2021-25742

    GKE

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que fazer?

    Esse problema de segurança não afeta a infraestrutura de cluster do GKE nem qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que fazer?

    Esse problema de segurança não afeta a infraestrutura de cluster do GKE nem qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que fazer?

    Esse problema de segurança não afeta a infraestrutura de cluster do GKE nem qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que fazer?

    Esse problema de segurança não afeta a infraestrutura de cluster do GKE nem qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhum

    GCP-2021-019

    Data de publicação: 29/09/2021

    GKE

    Descrição Gravidade

    Há um problema conhecido em que a atualização de um recurso BackendConfig usando a API v1beta1 remove uma política de segurança ativa do Google Cloud Armor do Serviço.

    Meu ambiente foi afetado por essa vulnerabilidade?

    Se o BackendConfig já foi atualizado com a API v1beta1, a política de segurança do Google Cloud Armor pode ter sido removida. Para determinar se isso aconteceu, execute o seguinte comando:

    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Se a resposta retornar a saída: o cluster é afetado pelo problema. A saída desse comando retorna uma lista de recursos BackendConfig (<namespace>/<name>) que foram afetados pelo problema.
    • Se a saída estiver vazia: o BackendConfig não foi atualizado usando a API v1beta1 desde que o problema foi identificado. As atualizações futuras do BackendConfig precisam usar somente v1.

    Esse problema afeta as seguintes versões do GKE:

    • 1.18.19-gke.1400 a 1.18.20-gke.5100 (exclusivo)
    • 1.19.10-gke.700 a 1.19.14-gke.300 (exclusivo)
    • 1.20.6-gke.700 a 1.20.9-gke.900 (exclusivo)
    • 1.21 a 1.21.1-gke.2700 (exclusivo)

    Se você não configurar o Google Cloud Armor nos recursos de Entrada pelo BackendConfig, esse problema não afetará os clusters.

    O que fazer?

    Faça upgrade do plano de controle do GKE para uma das versões atualizadas a seguir que corrige esse problema e permite que os recursos v1beta1 BackendConfig sejam usados com segurança:

    • 1.21.1-gke.2700 e posterior
    • 1.20.9-gke.900 e posterior
    • 1.19.14-gke.300 e posterior
    • 1.18.20-gke.5100 e posterior

    Para evitar esse problema, evite a implantação de recursos v1beta1 BackendConfig. Se você configurou o Google Cloud Armor nos recursos do Ingress pelo BackendConfig e descobriu que foi afetado pelas etapas acima, reative o Google Cloud Armor enviando uma atualização à sua instância atual BackendConfig pela versão da API cloud.google.com/v1 .

    Para evitar esse problema, faça atualizações somente para o BackendConfig usando a API v1 BackendConfig.

    Como a BackendConfig da v1 é compatível com os mesmos campos que v1beta1 e não faz alterações interruptivas, o campo da API pode ser atualizado de forma transparente. Para fazer isso, substitua o campo apiVersion de qualquer manifesto BackendConfig ativo por cloud.google.com/v1 e faça não use cloud.google.com/v1beta1.

    O manifesto de amostra a seguir descreve um recurso BackendConfig que usa a API v1:

    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Se você tiver sistemas ou ferramentas de CI/CD que atualizam regularmente os recursos do BackendConfig, verifique se você está usando o grupo de APIs cloud.google.com/v1 nesses sistemas

    Baixa

    GCP-2021-022

    Data da publicação: 23/09/2021

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta no módulo LDAP do GKE Enterprise Identity Service (AIS) do GKE nas versões 1.8 e 1.8.1 da VMware, em que uma chave de semente usada na geração de chaves é previsível. Com essa vulnerabilidade, um usuário autenticado pode adicionar declarações arbitrárias e escalonar privilégios indefinidamente.

    Detalhes técnicos

    Uma adição recente ao código ACS cria chaves simétricas com o módulo de matemática/randa do golang, que não é adequado para códigos sensíveis à segurança. O módulo é usado de modo a gerar uma chave previsível. Durante a verificação de identidade, é gerada uma chave do serviço de token seguro (STS, na sigla em inglês) que, depois, é criptografada com uma chave simétrica simples de derivar.

    O que fazer?

    Essa vulnerabilidade afeta apenas os clientes que usam o AIS no GKE nas versões 1.8 e 1.8.1 do VMware. Para usuários do GKE no VMware 1.8, faça upgrade dos clusters para a seguinte versão:

    • 1.8.2
    Alto

    GCP-2021-021

    Data de publicação: 22/09/2021
    Referência: CVE-2020-8561

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões disponíveis atualmente do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    <pCVE-2020-8561

    </p
    Média

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões disponíveis atualmente do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    <pCVE-2020-8561

    </p
    Média

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões disponíveis atualmente do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    <pCVE-2020-8561

    </p
    Média

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões disponíveis atualmente do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    <pCVE-2020-8561

    </p
    Média

    GCP-2021-018

    Data de publicação: 15/09/2021
    Atualizado em: 24/09/2021
    Referência: CVE-2021-25741

    Atualização de 24/09/2021: o boletim do GKE em Bare Metal foi atualizado com mais versões com patch.

    Atualização de 20/09/2021: boletins adicionados para o GKE em Bare Metal

    Atualização de 16/09/2021: boletins adicionados para o GKE no VMware


    GKE

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que fazer?

    Recomendamos que você faça upgrade dos pools de nós para uma das versões a seguir ou mais recente para aproveitar os patches mais recentes:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    As seguintes versões também contêm a correção:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Alto

    Clusters do GKE em

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que fazer?

    Atualizado em 24/09/2021: as versões com patch 1.8.3 e 1.7.4 já estão disponíveis.

    Atualizado em 17/09/2021: foi corrigida a lista de versões disponíveis que contêm o patch.


    O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Alto

    Clusters do GKE em

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que fazer?

    Atualização de 16/09/2021: adição da lista de versões gke compatíveis para objetos AWSCluster e AWSNodePool.


    O código das seguintes versões do GKE na AWS foi atualizado para corrigir essa vulnerabilidade. Nesse caso, recomendamos o seguinte:

    • Faça upgrade dos seus objetos AWSManagementService, AWSCluster e AWSNodePool para a seguinte versão:
      • 1.8.2
    • Atualize o gke-version dos objetos AWSCluster e AWSNodePool para uma das versões compatíveis do Kubernetes:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Alto

    Clusters do GKE em

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que fazer?

    O código das versões a seguir do GKE em bare metal foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:

    • 1.8.3
    • 1.7.4
    Alto

    GCP-2021-017

    Data de publicação: 01/09/2021
    Atualizado em: 23/09/2021
    Referência: CVE-2021-33909
    CVE-2021-33910

    GKE

    Descrição Gravidade
    Atualização de 23/19/2021:

    Contêineres em execução dentro do GKE Sandbox não são afetados por essa vulnerabilidade em ataques originados dentro do contêiner.


    Atualização de 15/19/2021:

    As seguintes versões do GKE corrigem as vulnerabilidades:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Alto

    Clusters do GKE em

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que fazer?

    As versões das imagens de nó do Linux para o GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Alto

    Clusters do GKE em

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que fazer?

    As versões das imagens de nó do Linux e do COS para o GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (somente no Linux)

    Consulte Histórico de versões: Kubernetes e versões do kernel do nó.

    Alto

    GCP-2021-015

    Publicado em: 13/07/2021
    Atualizado em: 15/07/2021
    Referência: CVE-2021-22555

    GKE

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios CAP_NET_ADMIN pode causar uma falha de root no contêiner. Essa vulnerabilidade afeta todos os clusters do GKE e o GKE no VMware que executam o Linux versão 2.6.19 ou posterior.

    Detalhes técnicos

    Nesse ataque, uma gravação fora dos limites em setsockopt no subsistema netfilter no Linux pode permitir uma corrupção de heap (e, portanto, negação de serviço) e o escalonamento de privilégios.

    O que fazer?

    As seguintes versões do Linux no GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-22555

    Alto

    Clusters do GKE em

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios CAP_NET_ADMIN pode causar uma falha de root no contêiner. Essa vulnerabilidade afeta todos os clusters do GKE e o GKE no VMware que executam o Linux versão 2.6.19 ou posterior.

    Detalhes técnicos

    Nesse ataque, uma gravação fora dos limites em setsockopt no subsistema netfilter no Linux pode permitir uma corrupção de heap (e, portanto, negação de serviço) e o escalonamento de privilégios.

    O que fazer?

    As seguintes versões do Linux no GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.8
    • 1.7.3
    • 1.6.4

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-22555

    Alto

    GCP-2021-014

    Data de publicação: 05/07/2021
    Referência: CVE-2021-34527

    GKE

    Descrição Gravidade

    A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "Printnightmare", que também afeta os spoolers de impressão do Windows. Vulnerabilidade do Spooler de impressão crítica do Windows

    O que fazer?

    Você não precisa fazer nada. Os nós do GKE no Windows não contêm o serviço Spooler afetado como parte da imagem base. Por isso, as implantações do GKE no Windows não estão vulneráveis a esse ataque.

    Quais vulnerabilidades são corrigidas por esse boletim?

    Alto

    GCP-2021-012

    Publicado em: 01/07/2021
    Atualizado em: 09/07/2021
    Referência: CVE-2021-34824

    GKE

    Descrição Gravidade

    O que fazer?

    Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod.

    O que fazer?

    Por padrão, os clusters do GKE não executam o Istio e, quando ativados, usam a versão 1.6 do Istio, que não é vulnerável a esse ataque. Se você instalou ou fez upgrade do Istio no cluster para o Istio 1.8 ou posterior, faça upgrade do Istio para a versão compatível mais recente.

    Alto

    Clusters do GKE em

    Descrição Gravidade

    O que fazer?

    Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod.

    O que fazer?

    Os clusters do Anthos no VMware v1.6 e v1.7 não são vulneráveis a esse ataque. Os clusters do Anthos no VMware v1.8 são vulneráveis.

    Se você estiver usando clusters do Anthos no VMware v1.8, faça upgrade para a seguinte versão com patch ou posterior:

    • 1.8.0-gke.25
    Alto

    Clusters do GKE em

    Descrição Gravidade

    O que fazer?

    Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. Os clusters criados ou atualizados com clusters do Anthos no bare metal v1.8.0 são afetados por essa CVE.

    O que fazer?

    O Anthos v1.6 e 1.7 não são vulneráveis a esse ataque. Se você tiver clusters v1.8.0, faça o download e instale a versão 1.8.1 do bmctl e faça upgrade dos clusters para a seguinte versão com patch:

    • 1.8.1
    Alto

    GCP-2021-011

    Data de publicação: 04/06/2021
    Atualizado em: 19/10/2021
    Referência: CVE-2021-30465

    Atualização de 19/10/2021: adição de boletins para o GKE no VMware, o GKE na AWS e o GKE em Bare Metal.

    GKE

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA".

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que fazer?

    Há um patch recém-lançado para runc (1.0.0-rc95) que corrige essa vulnerabilidade.

    Faça upgrade do cluster do GKE para uma das versões atualizadas a seguir:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Média

    Clusters do GKE em

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Para o GKE no VMware, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA".

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que fazer?

    Há um patch recém-lançado a runc que corrige essa vulnerabilidade. Faça upgrade do GKE no VMware para uma das seguintes versões:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Média

    Clusters do GKE em

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Como essa é uma vulnerabilidade no nível do SO, o GKE na AWS não é vulnerável.

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que fazer?

    Verifique se a versão do SO em que você está executando o GKE na AWS é atualizada para a versão mais recente do SO que tem um pacote runc atualizado.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Como essa é uma vulnerabilidade no nível do SO, o GKE em bare metal não é vulnerável.

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que fazer?

    Verifique se a versão do SO em que você está executando o Google Distributed Cloud Virtual para Bare Metal é atualizada para a versão mais recente do SO que tem um pacote runc atualizado.

    Nenhum

    GCP-2021-006

    Data de publicação: 11/05/2021
    Referência: CVE-2021-31920

    GKE

    Descrição Gravidade

    Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-31920) que afeta o Istio.

    O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando regras de autorização com base em caminho forem usadas.

    O que fazer?

    É altamente recomendável atualizar e reconfigurar os clusters do GKE. É importante concluir as duas etapas abaixo para resolver a vulnerabilidade:

    1. Atualize os clusters: preencha as instruções a seguir para fazer o upgrade dos clusters para as versões de patch mais recentes assim que possível:
      • Se você estiver usando o Istio no GKE 1.6:

        A versão de lançamento mais recente do patch é 1.6.14-gke.3. Siga as instruções de upgrade para fazer upgrade dos clusters para a versão mais recente.

      • Se você estiver usando o Istio no GKE 1.4:
      • As versões do Istio no GKE 1.4 não são mais compatíveis com o Istio, e não oferecemos suporte a correções de CVE para essas versões. Siga as instruções de upgrade do Istio (em inglês) para fazer upgrade dos clusters para 1.6. Depois, siga as instruções acima para conseguir a versão mais recente do Istio no GKE 1.6.

    2. Configure o Istio:

      Depois que os clusters forem corrigidos, você precisará reconfigurar o Istio no GKE. Consulte o guia de práticas recomendadas de segurança para configurar corretamente o sistema.

    Alto

    GCP-2021-004

    Data de publicação: 06/05 2021
    Referência: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    Os clusters do GKE não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ficar vulneráveis a ataques de negação de serviço.

    O que fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do seu plano de controle do GKE para uma das seguintes versões com patch:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Média

    Clusters do GKE em

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    O GKE no VMware usa o Envoy por padrão para o Ingress. Portanto, os serviços do Ingress podem estar vulneráveis à negação de serviço.

    O que fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do GKE no VMware para uma das seguintes versões com patch quando elas forem lançadas:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Média

    Clusters do GKE em

    Atualizado em: 06/05/2021

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    O Google Distributed Cloud Virtual para Bare Metal usa o Envoy por padrão para o Ingress. Portanto, os serviços Ingress podem ser vulneráveis à negação de serviço.

    O que fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do cluster do Google Distributed Cloud Virtual para Bare Metal para uma das seguintes versões com patch quando elas forem lançadas:

    • 1.6.3
    • 1.7.1
    Média

    GCP-2021-003

    Data de publicação: 19/04/2021
    Referência: CVE-2021-25735

    GKE

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça o upgrade do cluster do GKE para uma das seguintes versões com patch:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Média

    Clusters do GKE em

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Média

    Clusters do GKE em

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Média

    Clusters do GKE em

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Média

    GCP-2021-001

    Data de publicação: 28/01/2021
    Referência: CVE-2021-3156

    GKE

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    Os clusters do Google Kubernetes Engine (GKE) não são afetados por esta vulnerabilidade:

    • Os usuários autorizados a nós SSH para GKE já são considerados altamente privilegiados e podem usar sudo para conseguir privilégios raiz desde a criação. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do GKE é criada com base em imagens de base distroless, que não têm um shell ou sudo instalados. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não dá acesso ao host devido ao limite do contêiner.

    O que fazer?

    Como os clusters do GKE não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

    O GKE terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência regular.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    O GKE no VMware não é afetado por essa vulnerabilidade:

    • Os usuários autorizados a SSH para nós do GKE no VMware já são considerados altamente privilegiados e podem usar sudo para conseguir privilégios raiz desde a criação. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do GKE no VMware é criada com base em imagens de base distroless, que não têm um shell ou sudo instalados. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que fazer?

    Como os clusters do GKE no VMware não é afetado por essa vulnerabilidade, nenhuma outra ação é necessária.

    O GKE no VMware vai ter o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência normal.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    O GKE na AWS não é afetado por essa vulnerabilidade:

    • Os usuários autorizados a nós SSH para GKE na AWS já são considerados altamente privilegiados e podem usar sudo para conseguir privilégios raiz desde a criação. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do GKE na AWS é criada com base em imagens de base distroless, que não têm um shell ou sudo instalados. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que fazer?

    Como o GKE em clusters da AWS não é afetado por essa vulnerabilidade, nenhuma outra ação é necessária.

    O GKE na AWS terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência regular.

    Nenhum

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    Os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por essa vulnerabilidade:

    • Os usuários autorizados a SSH para nós do Google Distributed Cloud Virtual para Bare Metal já são considerados altamente privilegiados e podem usar sudo para ter privilégios raiz desde a criação. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do Google Distributed Cloud Virtual para Bare Metal é criada a partir de imagens de base distroless, que não têm um shell ou sudo instalados. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que fazer?

    Como os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

    O Google Distributed Cloud Virtual para Bare Metal terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência normal.

    Nenhum

    GCP-2020-015

    Data de publicação: 07/12/2020
    Atualizado em: 22/12/2021
    Referência: CVE-2020-8554

    Atualização de 22/12/2021: usa gcloud beta em vez do comando gcloud.

    Atualização de 15/12/2021: mitigação adicional do GKE.

    GKE

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizada em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem upgrade para o GKE versão 1.21 poderão bloquear serviços com ExternalIPs usando o comando:
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

    Todos os clusters do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade.

    O que fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o Controlador de Políticas do GKE Enterprise ou o Gatekeeper com este modelo de restrição e aplique-o. Por exemplo:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Média

    Clusters do GKE em

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizada em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem upgrade para o GKE versão 1.21 poderão bloquear serviços com ExternalIPs usando o comando:
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

    Todos os GKE na VMware são afetados por essa vulnerabilidade.

    O que fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o Controlador de Políticas do GKE Enterprise ou o Gatekeeper com este modelo de restrição e aplique-o. Por exemplo:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Média

    Clusters do GKE em

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizada em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem upgrade para o GKE versão 1.21 poderão bloquear serviços com ExternalIPs usando o comando:
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

    Todos os GKE na AWS são afetados por essa vulnerabilidade.

    O que fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o Controlador de Políticas do GKE Enterprise ou o Gatekeeper com este modelo de restrição e aplique-o. Por exemplo:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Média

    GCP-2020-014

    Publicado em: 20/10/2020
    Referência: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Atualizado em: 20/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE não é afetado.

    O que fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    Nenhum

    Clusters do GKE em

    Atualizado em: 10/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE no VMware não é afetado.

    O que fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    Nenhum

    Clusters do GKE em

    Atualizado em: 20/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE na AWS não é afetado.

    O que fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    Nenhum

    GCP-2020-012

    Publicado em: 14/09/2020
    Referência: CVE-2020-14386

    GKE

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do plano de controle e, depois, faça upgrade dos nós para uma das versões com patch listadas abaixo:

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    O uso dessa vulnerabilidade requer CAP_NET_RAW, mas poucos ontêineres geralmente exigem CAP_NET_RAW. Este e outros recursos avançados precisam ser bloqueados por padrão usando PodSecurityPolicy ou o Policy Controller:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou Gatekeeper para aplicar este modelo de restrição. Por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW
    .

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alto

    Clusters do GKE em

    Atualizado em: 17/09/2020

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Todos os nós do GKE no VMware foram afetados.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do {gke_on_prem_name}} conterão a correção da vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:

    • GKE no VMware 1.4.3, disponível agora.
    • GKE no VMware 1.3.4, disponível agora.

    O uso dessa vulnerabilidade requer CAP_NET_RAW, mas poucos ontêineres geralmente exigem CAP_NET_RAW. Este e outros recursos avançados precisam ser bloqueados por padrão usando PodSecurityPolicy ou o Policy Controller:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou Gatekeeper para aplicar este modelo de restrição. Por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alto

    Clusters do GKE em

    Atualizado em: 13/10/2020

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Todos os nós do GKE nos nós da AWS são afetados.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do serviço de gerenciamento e dos clusters do usuário para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes incluirão a correção dessa vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou Gatekeeper para aplicar este modelo de restrição. Por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alto

    GCP-2020-011

    Publicado em: 2020-07-24
    Referência: CVE-2020-8558

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    A exploração dessa vulnerabilidade nos clusters do GKE requer que um invasor tenha privilégios de administrador de rede no Google Cloud que hospede a VPC do cluster. Por si só, essa vulnerabilidade não concede privilégios de administrador de rede a invasores. Por esse motivo, essa vulnerabilidade recebeu uma gravidade baixa no GKE.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade dos pools de nós do cluster para as seguintes versões do GKE (e posteriores):

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês).

    Baixa

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção para essa vulnerabilidade:

    • GKE on VMware 1.4.1

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558.

    Média

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    A exploração dessa vulnerabilidade nos clusters de usuário requer que um invasor desative verificações de destino de origem nas instâncias do EC2 no cluster. Isso exige que o invasor tenha permissões do IAM da AWS para ModifyInstanceAttribute ou ModifyNetworkInterfaceAttribute nas instâncias do EC2. Por sse motivo, essa vulnerabilidade recebeu uma gravidade baixa para o GKE na AWS.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes precisam incluir a correção para essa vulnerabilidade:

    • GKE na AWS 1.4.1-gke.17

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês).

    Baixa

    GCP-2020-009

    Publicado em: 15/07/2020
    Referência: CVE-2020-8559

    GKE

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que fazer?

    Faça upgrade do cluster para uma versão com patch. Os clusters serão atualizados automaticamente nas próximas semanas, e as versões com patch estarão disponíveis até 19 de julho de 2020 para uma programação acelerada por upgrade manual. As seguintes versões do plano de controle do GKE ou mais recentes contêm a correção dessa vulnerabilidade:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Média

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que fazer?

    Faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção para essa vulnerabilidade:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Média

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que fazer?

    O GKE na AWS GA (1.4.1, disponível no final de julho de 2020) ou mais recente inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Média

    GCP-2020-007

    Publicado em: 01/06/2020
    Referência: CVE-2020-8555

    GKE

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a última versão do patch, como detalhamos a seguir. Não é necessário fazer upgrade do nó.

    O que fazer?

    Para quase todos os clientes, nenhuma ação é necessária. A grande maioria dos clusters já executa uma versão com o patch. As seguintes versões do GKE ou superiores contêm a solução para essa vulnerabilidade:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Os clusters que usam canais de lançamento já estão nas versões do plano de controle com a mitigação.

    Qual vulnerabilidade é corrigida pelo patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Média

    Clusters do GKE em

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó.

    O que fazer?

    As versões do GKE ba VMware a seguir ou versões mais recentes contêm a correção dessa vulnerabilidade:

    • Anthos 1.3.0

    Se você estiver usando uma versão anterior, faça upgrade do cluster atual para uma versão que contenha a correção.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Média

    Clusters do GKE em

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó.

    O que fazer?

    O GKE v0.2.0 na AWS ou mais recente já inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Média

    GCP-2020-006

    Publicado em: 01/062020
    Referência: problema 91507 do Kubernetes

    GKE

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch, conforme detalhado a seguir.

    O que fazer?

    Para mitigar essa vulnerabilidade, faça o upgrade do seu plano de controle e dos seus nós para uma das versões com patch listadas a seguir. Os clusters nos canais de lançamento já estão executando uma versão com patch no plano de controle e nos nós:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Essa e outras capacidades poderosas deveriam estar bloqueadas por padrão pela PodSecurityPolicy ou o Policy Controller do Anthos:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou Gatekeeper para aplicar este modelo de restrição. Por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Média

    Clusters do GKE em

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade, e recomendamos que você faça o upgrade para a versão mais recente do patch, como detalhamos a seguir.

    O que fazer?

    Para atenuar essa vulnerabilidade do GKE no VMware, faça upgrade dos clusters para a versão a seguir ou mais recente:
    • Anthos 1.3.2

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Esse e outros recursos avançados precisam ser bloqueados, por padrão, usando o Anthos Policy Controller ou atualizando as especificações de pod:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou Gatekeeper para aplicar este modelo de restrição. Por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Média

    Clusters do GKE em

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade, e recomendamos que você faça o upgrade para a versão mais recente do patch, como detalhamos a seguir.

    O que fazer?

    Faça o download da ferramenta de linha de comando anthos-gke com a seguinte versão ou mais recente e crie novamente os clusters de gerenciamento e usuário:

    • aws-0.2.1-gke.7

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Esse e outros recursos avançados precisam ser bloqueados, por padrão, usando o Anthos Policy Controller ou atualizando as especificações de pod:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou Gatekeeper para aplicar este modelo de restrição. Por exemplo:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Média

    GCP-2020-005

    Publicado em: 07/052020
    Atualizado em: 07/05/2020
    Referência: CVE-2020-8835

    GKE

    Descrição Gravidade

    Uma vulnerabilidade foi recentemente descoberta no kernel do Linux, descrita em CVE-2020-8835 (em inglês), permitindo que o escape de contêiner receba privilégios de raiz no nó do host.

    Os nós do Ubuntu do Google Kubernetes Engine executando a versão 1.16 ou 1.17 do GKE foram afetados por essa vulnerabilidade. Recomendamos que você faça upgrade para a versão de patch mais recente assim que possível, conforme detalhado abaixo.

    Os nós executando o SO otimizado para contêineres não foram afetados. Os nós executando o GKE no VMware não foram afetados.

    O que fazer?

    Para a maioria dos clientes, nenhuma outra ação é necessária. Apenas os nós executando o Ubuntu na versão 1.16 ou 1.17 do GKE foram afetados.

    Para fazer upgrade dos seus nós, primeiro você precisa fazer o upgrade do mestre para a versão mais recente. Esse patch será disponibilizado nestas versões do Kubernetes: 1.16.8-gke.12, 1.17.4-gke.10 e lançamentos posteriores. Acompanhe a disponibilidade dos patches nas notas de lançamento.

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A CVE-2020-8835 (em inglês) descreve uma vulnerabilidade na versão 5.5.0 e posteriores do kernel do Linux, que permite que um contêiner mal-intencionado (com interação mínima do usuário na forma de um exec) leia e grave na memória do kernel e consiga a execução do código no nível da raiz do nó do host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade.

    Alto

    GCP-2020-004

    Publicado em: 07/05/2020
    Atualizado em: 07-05-2020
    ReferênciaCVE-2019-11254

    Clusters do GKE em

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês).

    É possível mitigar essa vulnerabilidade limitando os clientes que têm acesso à rede dos servidores da API Kubernetes.

    O que fazer?

    Recomendamos fazer upgrade de seus clusters para corrigir versões que contenham a correção dessa vulnerabilidade assim que estiverem disponíveis.

    Veja abaixo as versões de patch que solucionam o problema:

    • Anthos 1.3.0, que executa o Kubernetes versão 1.15.7-gke.32

    Quais vulnerabilidades são corrigidas por esse patch?

    A de negação de serviço (DoS) a seguir:

    CVE-2019-11254 (em inglês).

    Média

    GCP-2020-003

    Publicado em: 31/03/2020
    Atualizado em: 31/03/2020
    Referência: CVE-2019-11254

    GKE

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês).

    Os clusters do GKE que usam redes mestras autorizadas e clusters privados sem endpoint público reduzem essa vulnerabilidade.

    O que fazer?

    Recomendamos que você faça o upgrade do seu cluster para uma versão de patch com a correção da vulnerabilidade.

    Veja abaixo as versões de patch que solucionam o problema:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Quais vulnerabilidades são corrigidas por esse patch?

    A de negação de serviço (DoS) a seguir:

    CVE-2019-11254 (em inglês).

    Média

    GCP-2020-002

    Publicado em: 23/03/2020
    Atualizado em: 23/03/2020
    ReferênciaCVE-2020-8551, CVE-2020-8552

    GKE

    Descrição Gravidade

    O Kubernetes divulgou duas vulnerabilidades de negação de serviço (em inglês), uma com impacto no servidor de API e outra no Kubelets. Para mais detalhes, veja os seguintes problemas do Kubernetes: 89377 e 89378 (ambos em inglês).

    O que fazer?

    Todos os usuários do GKE estão protegidos contra a CVE-2020-8551, a menos que usuários que não sejam de confiança possam enviar solicitações dentro da rede interna dos clusters. Além disso, o uso das redes mestras autorizadas reduz a CVE-2020-8552.

    Quando essas vulnerabilidades serão corrigidas?

    Os patches para a CVE-2020-8551 exigem um upgrade de nó. Abaixo, as versões de patch que mitigam o problema:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Os patches para a CVE-2020-8552 exigem o upgrade de um mestre. Abaixo, as versões de patch que mitigam o problema:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Média

    GCP-january_21_2020

    Publicado em: 21/01/2020
    Atualizado em: 24/01/2020
    ReferênciaCVE-2019-11254

    GKE

    Descrição Gravidade

    Atualização de 24/01/2020: o processo de disponibilização de versões com patch está sendo realizado e será concluído em 25 de janeiro de 2020.


    A Microsoft divulgou uma vulnerabilidade na Windows CryptoAPI e em sua validação de assinaturas de curva elíptica. Para mais informações, consulte o anúncio da Microsoft.

    O que fazer?

    Para a maioria dos clientes, nenhuma outra ação é necessária. Somente os nós com Windows Server em execução são afetados.

    Nesse caso, para reduzir a vulnerabilidade, é necessário atualizar os nós e as cargas de trabalho em contêineres executadas neles para as versões com patch.

    Para atualizar os contêineres:

    É necessário recriá-los. Para isso, use as imagens de contêiner de base mais recentes da Microsoft selecionando uma tag de servercore ou nanoserver (páginas em inglês) que tenha o valor "1/14/2020" ou posterior em "LastUpdated Time".

    Para atualizar os nós:

    O processo de disponibilização de versões com patch está sendo realizado e será concluído em 24 de janeiro de 2020.

    Faça o upgrade dos nós para uma versão de patch do GKE ou use o Windows Update para implantar manualmente o patch mais recente do Windows a qualquer momento.

    Abaixo, as versões de patch que incluem a mitigação:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Quais vulnerabilidades são corrigidas por esse patch?

    O patch reduz as vulnerabilidades a seguir:

    CVE-2020-0601 (em inglês): também conhecida como Vulnerabilidade de spoofing da Windows CryptoAPI. Usada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões TLS com o software afetado.

    Pontuação base do NVD: 8,1 (alta)

    Boletins de segurança arquivados

    Para boletins de segurança anteriores a 2020, consulte o Arquivo de boletins de segurança.