本页介绍以下产品的所有安全公告:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud on VMware(纯软件)
- GKE on AWS
- GKE on Azure
- Google Distributed Cloud on Bare Metal(纯软件)
漏洞通常有一段时间的保密期,以便给受影响的各方留出时间来解决这些问题。在这种情况下,产品的版本说明会在保密期结束前使用“安全更新”来泛指这些漏洞。保密期结束后,我们会更新版本说明,以阐明补丁程序所解决的漏洞。
当 GKE 发出与集群配置或版本直接相关的安全公告时,我们可能会向您发送 SecurityBulletinEvent 集群通知,提供了漏洞相关信息,以及您可以采取的措施(如果适用)。如需了解如何设置集群通知,请参阅集群通知。
如需详细了解 Google 如何管理 GKE 和 GKE Enterprise 的安全漏洞和补丁,请参阅安全修补。
GKE 和 GKE Enterprise 平台不使用 ingress-nginx 和 CRI-O 容器运行时等组件,并且不受这些组件中任何漏洞的影响。如果您安装来自其他来源的组件,请参阅来源处关于这些组件的安全更新和修补建议。
GCP-2024-056
发布日期:2024-09-27
参考编号:CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177
GKE
| 说明 | 严重程度 |
|---|---|
|
在某些 Linux 发行版使用的 CUPS 打印系统中发现了一个漏洞链(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177),该漏洞链可能会导致远程代码执行。如果 CUPS 服务正在监听 UDP 端口 631 且可以连接到该端口,攻击者便可以利用此漏洞。 GKE 不使用 CUPS 打印系统,因此不受影响。 该怎么做?无需执行任何操作 |
无 |
GDC (VMware)
| 说明 | 严重程度 |
|---|---|
|
在某些 Linux 发行版使用的 CUPS 打印系统中发现了一个漏洞链(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177),该漏洞链可能会导致远程代码执行。如果 CUPS 服务正在监听 UDP 端口 631 且可以连接到该端口,攻击者便可以利用此漏洞。 GDC for VMware 软件不使用 CUPS 打印系统,因此不受影响。 该怎么做?无需执行任何操作 |
无 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在某些 Linux 发行版使用的 CUPS 打印系统中发现了一个漏洞链(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177),该漏洞链可能会导致远程代码执行。如果 CUPS 服务正在监听 UDP 端口 631 且可以连接到该端口,攻击者便可以利用此漏洞。 GKE on AWS 不使用 CUPS 打印系统,因此不受影响。 该怎么做?无需执行任何操作 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在某些 Linux 发行版使用的 CUPS 打印系统中发现了一个漏洞链(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177),该漏洞链可能会导致远程代码执行。如果 CUPS 服务正在监听 UDP 端口 631 且可以连接到该端口,攻击者便可以利用此漏洞。 GKE on Azure 不使用 CUPS 打印系统,因此不受影响。 该怎么做?无需执行任何操作 |
无 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在某些 Linux 发行版使用的 CUPS 打印系统中发现了一个漏洞链(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177),该漏洞链可能会导致远程代码执行。如果 CUPS 服务正在监听 UDP 端口 631 且可以连接到该端口,攻击者便可以利用此漏洞。 适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 该怎么做?无需执行任何操作 |
无 |
GCP-2024-054
发布日期:2024-09-23
参考编号:CVE-2024-5321
GKE
| 说明 | 严重程度 |
|---|---|
|
在包含 Windows 节点的 Kubernetes 集群中发现了一个安全问题,其中 任何包含 Windows 节点的 Kubernetes 环境都会受到影响。运行 受影响的 GKE 版本
该怎么做?以下版本的 GKE 已进行了更新,以修复此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 解决了哪些漏洞?CVE-2024-5321 |
中 |
GDC (VMware)
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 集群中发现了一个安全问题,其中 任何包含 Windows 节点的 Kubernetes 环境都会受到影响。运行 该怎么做?适用于 VMware 的 GDC 软件的补丁版本正在开发中。如果有进展信息,我们将相应更新此公告。 解决了哪些漏洞?CVE-2024-5321 |
中 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 集群中发现了一个安全问题,其中包含 Windows 节点, GKE on AWS 集群不支持 Windows 节点,因此不受影响。 该怎么做?无需执行任何操作
|
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 集群中发现了一个安全问题,其中包含 Windows 节点, GKE on Azure 集群不支持 Windows 节点,因此不受影响。 该怎么做?无需执行任何操作 |
无 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 集群中发现了一个安全问题,其中包含 Windows 节点, 适用于裸金属集群的 GDC 软件不支持 Windows 节点,因此不受影响。 该怎么做?无需执行任何操作 |
无 |
GCP-2024-050
发布日期:2024-09-04
参考编号:CVE-2024-38063
GKE
| 说明 | 严重程度 |
|---|---|
|
我们在 Windows 中发现了一个新的远程代码执行漏洞 (CVE-2024-38063)。 攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。 该怎么做?GKE 不支持 Windows 上的 IPv6,也不受此 CVE 的影响。您无需采取任何行动。 |
无 |
GDC (VMware)
| 说明 | 严重程度 |
|---|---|
|
我们在 Windows 中发现了一个新的远程代码执行漏洞 (CVE-2024-38063)。 攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。 该怎么做?适用于 VMware 的 GDC 软件不支持 Windows 上的 IPv6,也不受此 CVE 的影响。您无需采取任何行动。 |
无 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
我们在 Windows 中发现了一个新的远程代码执行漏洞 (CVE-2024-38063)。 攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。 该怎么做?GKE on AWS 不受此 CVE 的影响。您无需采取任何行动。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
我们在 Windows 中发现了一个新的远程代码执行漏洞 (CVE-2024-38063)。 攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。 该怎么做?GKE on Azure 不受此 CVE 的影响 您无需采取任何行动。 |
无 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
我们在 Windows 中发现了一个新的远程代码执行漏洞 (CVE-2024-38063)。 攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。 该怎么做?GDC (Bare Metal) 不受此 CVE 的影响。您无需采取任何行动。 |
无 |
GCP-2024-049
发布日期:2024-08-21
参考编号:
CVE-2024-36978
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-048
发布日期:2024-08-20
参考编号:
CVE-2024-41009
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-047
发布日期:2024-08-19
参考编号:
CVE-2024-39503
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-045
发布日期:2024-07-17
更新日期:2024-09-19
参考编号:
CVE-2024-26925
2024 年 9 月 19 日更新:添加了 GDC (VMware) 的补丁版本。
2024 年 8 月 21 日更新:为 GKE 上的 Ubuntu 节点池添加了补丁版本。
GKE
更新日期:2024-08-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 8 月 21 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。将 Ubuntu 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
更新日期:2024-09-19
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?2024 年 9 月 19 日更新:以下版本的 GDC for VMware 软件已更新,内含修复此漏洞的代码。将适用于 VMware 集群的 GDC 软件升级到以下版本或更高版本:
|
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-044
发布日期:2024-07-16
参考编号:
CVE-2024-36972
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-043
发布日期:2024-07-16
更新日期:2024-10-02
参考编号:
CVE-2024-26921
2024 年 10 月 2 日更新:添加了 GKE 上 Ubuntu 节点池的补丁版本。
2024 年 9 月 20 日更新:添加了 GDC (VMware) 的补丁版本。
GKE
更新日期:2024-10-02
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 10 月 2 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。将 Ubuntu 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
更新日期:2024-09-20
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?2024 年 9 月 20 日更新:以下版本的 GDC for VMware 软件已更新,内含修复此漏洞的代码。将适用于 VMware 集群的 GDC 软件升级到以下版本或更高版本:
|
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-042
发布日期:2024-07-15
更新日期:2024-07-18
参考编号:
CVE-2024-26809
2024 年 7 月 18 日更新:澄清默认配置中的 Autopilot 集群不受影响。
GKE
更新日期:2024-07-18
| 说明 | 严重程度 |
|---|---|
|
2024 年 7 月 18 日更新:本公告的原始版本错误地指出 Autopilot 集群受到了影响。默认配置中的 Autopilot 集群不受影响,但如果您明确设置 seccomp 无限制配置文件或允许 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-041
发布日期:2024-07-08
更新日期:2024-09-16
参考编号:CVE-2023-52654、CVE-2023-52656
2024 年 9 月 16 日更新:添加了 GDC (VMware) 的补丁版本。
2024 年 7 月 19 日更新:添加了 GKE 上 Ubuntu 节点池的补丁版本。
GKE
更新日期:2024-07-19
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 7 月 19 日更新:以下版本的 GKE 包含用于在 Ubuntu 上修复此漏洞的代码。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
更新日期:2024-09-16
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?2024 年 9 月 16 日更新:以下版本的 GDC for VMware 软件已更新,内含修复此漏洞的代码。将适用于 VMware 集群的 GDC 软件升级到以下版本或更高版本:
|
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-040
发布日期:2024-07-01
更新日期:2024-07-11
参考编号:
CVE-2024-6387
2024 年 7 月 11 日更新:添加了 GDC 软件适用于 VMware、GKE on AWS 和 GKE on Azure 的补丁版本。
2024 年 7 月 3 日更新:添加了 GKE 的补丁版本
2024-07-02 最新动态:
- 澄清了 Autopilot 集群受到影响,需要用户采取行动。
- 添加了 GDC (VMware)、GKE on AWS 和 GKE on Azure 的影响评估和缓解措施。
- 更正了 GDC (Bare Metal) 安全公告,以明确说明 GDC (Bare Metal) 未直接受到影响,并且客户应向操作系统供应商咨询补丁。
GKE
更新日期:2024-07-03
| 说明 | 严重程度 |
|---|---|
|
2024 年 7 月 3 日更新:我们正在进行加速发布,预计到 2024 年 7 月 3 日美国和加拿大太平洋夏令时间下午 5 点(UTC-7),新的补丁版本将在所有区域推出。如需在您的特定集群有可用的补丁时立即收到通知,请使用集群通知。 2024 年 7 月 2 日更新:此漏洞会影响 Autopilot 模式集群和 Standard 模式集群。后续的每个部分都会告知该部分适用的模式。 最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限,使攻击者有可能获取 GKE 节点的 root 访问权限。截至本文发布之时,我们认为利用该漏洞十分困难,攻击每台设备需要花费数小时的时间。我们没有发现任何利用该漏洞发起的攻击。 GKE 上的所有受支持版本的 Container Optimized OS 和 Ubuntu 映像都运行着可能受到此问题影响的 OpenSSH 版本。 对于具有公共节点 IP 地址且向互联网公开 SSH 的 GKE 集群,应优先考虑采取风险缓解措施。 GKE 控制平面不受此问题的影响。 该怎么做?2024 年 7 月 3 日更新:GKE 的补丁版本我们正在加快部署,预计到 2024 年 7 月 3 日美国和加拿大太平洋夏令时间下午 5 点(UTC-7),所有区域都将可以使用新的补丁版本。 启用了自动升级的集群和节点将在本周开始升级,但鉴于此漏洞的严重级别,我们建议您按照以下步骤手动升级,以便尽快获取补丁。 对于 Autopilot 集群和 Standard 集群,都将控制平面升级到已修补的版本。此外,对于标准模式集群,请将节点池升级到修补后的版本。Autopilot 集群将开始升级您的节点,以尽快匹配控制平面版本。 每个受支持的版本都提供已打补丁的 GKE 版本,以最大限度地减少应用补丁所需的更改。每个新版本的版本号都是相应现有版本的版本号的最后一位数字的递增值。 例如,如果您使用的是 1.27.14-gke.1100000,则需要升级到 1.27.14-gke.1100002,以尽可能少地更改来获取修复程序。以下已打补丁的 GKE 版本可供使用:
如需检查集群可用区或区域中是否提供某个补丁,请运行以下命令: gcloud container get-server-config --location=将 2024 年 7 月 2 日更新:在补丁版本推出后,应尽快升级 Autopilot 模式集群和 Standard 模式集群。 我们将尽快提供包含更新的 OpenSSH 的 GKE 版本补丁。补丁发布后,我们会更新此公告。如需在您的渠道有可用的补丁时接收 Pub/Sub 通知,请启用集群通知。我们建议您按照以下步骤来检查集群的风险,并根据需要采取介绍的风险缓解措施。 确定节点是否有公共 IP 地址2024 年 7 月 2 日更新:本部分适用于 Autopilot 集群和标准集群。 如果使用
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" 如果返回值为 True,则所有节点都是此集群的专用节点,并且漏洞已得到缓解。如果该值为空或为 false,请继续应用以下各部分中的一个缓解措施。 如需查找最初使用公共节点创建的所有集群,请在项目或组织中使用以下 Cloud Asset Inventory 查询: SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false 禁止通过 SSH 连接到集群节点2024 年 7 月 2 日更新:本部分适用于 Autopilot 集群和标准集群。 默认网络预先填充了
如果您创建了任何其他可能允许通过端口 22 的 TCP 进行 SSH 的防火墙规则,请停用这些规则,或将来源 IP 限制为受信任的网络。 验证您无法再通过互联网 SSH 连接到集群节点。此防火墙配置可缓解此漏洞。 将公开节点池转换为专用节点池2024 年 7 月 2 日更新:对于最初创建为公共集群的 Autopilot 集群,您可以使用 nodeSelectors 将工作负载放置在专用节点上。 不过,在最初创建为公开集群的集群上运行系统工作负载的 Autopilot 节点仍将是公开节点,并且应通过使用上一部分中所述的防火墙更改来进行保护。 为了更好地保护最初使用公共节点创建的集群,我们建议您先禁止通过防火墙进行 SSH 连接,如前所述。如果您无法通过防火墙规则禁止 SSH,可以按照这些指南隔离节点池,将 GKE Standard 集群中的公共节点池转换为专用节点池。 更改 SSHD 配置2024 年 7 月 2 日更新:本部分仅适用于标准集群。Autopilot 工作负载不允许修改节点配置。 如果无法应用上述缓解措施,我们还发布了一个守护程序集,用于将 SSHD |
严重 |
GDC (VMware)
更新日期:2024-07-11
| 说明 | 严重程度 |
|---|---|
|
2024 年 7 月 11 日更新:以下版本的 GDC for VMware 软件已更新,内含修复此漏洞的代码。将管理员工作站、管理员集群和用户集群(包括节点池)升级到以下任一版本或更高版本。如需查看相关说明,请参阅升级集群或节点池。
本公告的 2024 年 7 月 2 日更新中错误地指出,GDC software for VMware 上所有受支持版本的 Ubuntu 映像运行的 OpenSSH 版本都可能受到此问题影响。GDC software for VMware 1.16 版集群上的 Ubuntu 映像运行的 OpenSSH 版本不易受到此问题的影响。GDC software for VMware 1.28 和 1.29 中的 Ubuntu 映像容易受到此问题的影响。 所有受支持的 GDC software for VMware 版本上的 Container-Optimized OS 映像都容易受到此问题的影响。 2024 年 7 月 2 日更新:适用于 VMware 的 GDC 软件上的所有受支持版本的 Container-Optimized OS 和 Ubuntu 映像都运行着可能受到此问题影响的 OpenSSH 版本。 对于具有公共节点 IP 地址且向互联网公开 SSH 的 VMware 集群的 GDC 软件,应优先考虑采取风险缓解措施。 最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限,使攻击者有可能获取 GKE 节点的 root 访问权限。截至本文发布之时,我们认为利用该漏洞十分困难,攻击每台设备需要花费数小时的时间。我们没有发现任何利用该漏洞发起的攻击。 该怎么做?2024 年 7 月 2 日更新:我们将尽快提供包含更新的 OpenSSH 的 GDC software for VMware 版本补丁。补丁发布后,我们会更新此公告。我们建议您根据需要采取以下缓解措施。 禁止通过 SSH 连接到集群节点您可以更改基础架构网络设置,以禁止来自不受信任来源(例如公共互联网)的 SSH 连接。 更改 sshd 配置如果您无法应用上述缓解措施,我们已发布 DaemonSet,以将 sshd |
严重 |
GKE on AWS
更新日期:2024-07-11
| 说明 | 严重程度 |
|---|---|
|
2024 年 7 月 11 日更新:GKE on AWS 的以下版本已更新,包含可以修复此漏洞的代码:
将 GKE on AWS 控制平面和节点池升级到以下某个补丁版本或更高版本。有关说明,请参阅升级 AWS 集群版本和更新节点池。 2024 年 7 月 2 日更新:GKE on AWS 上所有受支持版本的 Ubuntu 映像运行的 OpenSSH 版本都可能受到此问题影响。 对于具有公共节点 IP 地址且向互联网公开 SSH 的 GKE on AWS 集群,应优先考虑采取风险缓解措施。 最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限,使攻击者有可能获取 GKE 节点的 root 访问权限。截至本文发布之时,我们认为利用该漏洞十分困难,攻击每台设备需要花费数小时的时间。我们没有发现任何利用该漏洞发起的攻击。 该怎么做?2024 年 7 月 2 日更新:我们将尽快提供包含更新的 OpenSSH 的 GKE on AWS 版本补丁。补丁发布后,我们会更新此公告。我们建议您按照以下步骤来检查集群的风险,并根据需要采取介绍的风险缓解措施。 确定节点是否有公共 IP 地址GKE on AWS 不会为任何机器配置公共 IP 地址,也不会配置默认允许流量到达端口 22 的防火墙规则。不过,根据您的子网配置,机器可以在预配期间自动获取公共 IP 地址。 如需检查节点是否已预配公网 IP 地址,请查看与 AWS 节点池资源关联的子网的配置。 禁止通过 SSH 连接到集群节点尽管 GKE on AWS 默认不允许任何节点上的端口 22 上的流量,但客户可以将其他安全组附加到节点池,以启用入站 SSH 流量。 我们建议您从提供的安全组中移除或缩小范围相应的规则。 将公开节点池转换为专用节点池为了更好地保护包含公共节点的集群,我们建议您先禁止通过安全群组进行 SSH 连接,如上一部分所述。如果您无法通过安全群组规则禁止 SSH,则可以通过停用将子网内的机器自动分配公共 IP 的选项并重新配置节点池,将公共节点池转换为专用节点池。 |
严重 |
GKE on Azure
更新日期:2024-07-11
| 说明 | 严重程度 |
|---|---|
|
2024 年 7 月 11 日更新:以下 GKE on Azure 版本已更新,包含修复此漏洞的代码:
将 GKE on Azure 控制平面和节点池升级到以下某个修补后的版本或更高版本。如需查看相关说明,请参阅升级 Azure 集群版本和更新节点池。 2024 年 7 月 2 日更新:GKE on Azure 上所有受支持版本的 Ubuntu 映像运行的 OpenSSH 版本都可能受到此问题影响。 对于具有公共节点 IP 地址且向互联网公开 SSH 的 Azure 集群上的 GKE,应优先考虑采取风险缓解措施。 最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限,使攻击者有可能获取 GKE 节点的 root 访问权限。截至本文发布之时,我们认为利用该漏洞十分困难,攻击每台设备需要花费数小时的时间。我们没有发现任何利用该漏洞发起的攻击。 该怎么做?2024 年 7 月 2 日更新:我们将尽快提供包含更新的 OpenSSH 的 GKE on Azure 版本补丁。补丁发布后,我们会更新此公告。我们建议您按照以下步骤来检查集群的风险,并根据需要采取介绍的风险缓解措施。 确定节点是否有公共 IP 地址GKE on Azure 不会为任何机器配置公共 IP 地址或默认允许流量到达端口 22 的防火墙规则。如需查看 Azure 配置以检查 GKE on Azure 集群上是否配置了任何公网 IP 地址,请运行以下命令: az network public-ip list -g 禁止通过 SSH 连接到集群节点尽管 GKE on Azure 默认不允许任何节点上的端口 22 上的流量,但客户可以将 NetworkSecurityGroup 规则更新到节点池,从而允许来自公共互联网的入站 SSH 流量。 我们强烈建议您查看与您的 Kubernetes 集群关联的网络安全群组 (NSG)。如果存在允许端口 22 (SSH) 上的入站流量不受限制的 NSG 规则,请执行以下操作之一:
将公开节点池转换为专用节点池为了更好地保护包含公共节点的集群,我们建议您先禁止通过安全群组进行 SSH 连接,如上一部分所述。如果您无法通过安全群组规则禁止 SSH,则可以通过移除与虚拟机关联的公共 IP 地址,将公共节点池转换为专用节点池。 如需从虚拟机中移除公共 IP 地址并将其替换为专用 IP 地址配置,请参阅将公共 IP 地址与 Azure 虚拟机解除关联。 影响 :使用公共 IP 地址的所有现有连接都将中断。确保您已采用其他访问方法,例如 VPN 或 Azure Bastion。 |
严重 |
GDC (Bare Metal)
更新日期:2024-07-02
| 说明 | 严重程度 |
|---|---|
|
2024 年 7 月 2 日更新:适用于裸金属的 GDC 软件的原始公告版本错误地指出补丁版本正在开发中。适用于裸金属的 GDC 软件不会受到直接影响,因为它不会管理操作系统 SSH 守护程序或配置。因此,补丁版本由操作系统提供商负责,如我该怎么做?部分所述。 最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限,使攻击者有可能获取 GKE 节点的 root 访问权限。截至本文发布之时,我们认为利用该漏洞十分困难,攻击每台设备需要花费数小时的时间。我们没有发现任何利用该漏洞发起的攻击。 该怎么做?2024 年 7 月 2 日更新:请与您的操作系统提供商联系,以获取适用于裸金属 GDC 软件的操作系统的补丁。 在应用操作系统供应商补丁之前,请确保可公开访问的机器不允许通过互联网进行 SSH 连接。如果无法做到这一点,另一种方法是将 grep "^LoginGraceTime" /etc/ssh/sshd_config
LoginGraceTime 0请注意,此配置更改可能会增加拒绝服务攻击的风险,并可能会导致合法 SSH 访问出现问题。 2024-07-01 原文(如需更正,请参阅上文 2024 年 7 月 2 日更新): |
严重 |
GCP-2024-039
发布日期:2024-06-28
更新日期:2024-09-25
参考编号:
CVE-2024-26923
2024 年 9 月 25 日更新:添加了 GDC (VMware) 的补丁版本。
2024 年 8 月 20 日更新:添加了 GKE 上 Ubuntu 节点池的补丁版本。
GKE
更新日期:2024-08-20
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 8 月 20 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。将 Ubuntu 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
更新日期:2024-09-25
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?2024 年 9 月 25 日更新:以下版本的 GDC for VMware 软件已更新,内含修复此漏洞的代码。将适用于 VMware 集群的 GDC 软件升级到以下版本或更高版本:
|
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-038
发布日期:2024-06-26
更新日期:2024-09-17
参考编号:
CVE-2024-26924
2024 年 9 月 17 日更新:添加了 GDC (VMware) 的补丁版本。
2024 年 8 月 6 日更新:为 GKE 上的 Ubuntu 节点池添加了补丁版本。
GKE
更新日期:2024-08-06
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 8 月 6 日更新:为 GKE 上的 Ubuntu 节点池添加了补丁版本。 以下版本的 GKE 已进行了代码更新,修复了 Ubuntu 上的此漏洞。将 Ubuntu 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GDC (VMware)
更新日期:2024-09-17
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?2024 年 9 月 17 日更新:以下版本的 GDC for VMware 软件已更新,内含修复此漏洞的代码。将适用于 VMware 集群的 GDC 软件升级到以下版本或更高版本:
|
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GDC (Bare Metal)
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。适用于裸金属的 GDC 软件不受此影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2024-036
发布日期:2024-06-18
参考编号:
CVE-2024-26584
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-035
发布日期:2024-06-12
更新日期:2024-07-18
参考编号:
CVE-2024-26584
2024 年 7 月 18 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本,并添加了 Container-Optimized OS 节点池版本 1.27 的补丁版本。
GKE
更新日期:2024-07-18
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 7 月 18 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
以下版本的 GKE 已进行了代码更新,以修复 Container-Optimized OS 上的此漏洞。 将 Container-Optimized OS 节点池升级到以下补丁版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响,但没有可用的补丁版本。在补丁版本可用后,我们将更新本公告:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-034
发布日期:2024-06-11
更新日期:2024-07-10
参考编号:
CVE-2024-26583
2024 年 7 月 10 日更新:添加了针对运行次要版本 1.26 和 1.27 的 Container-Optimized OS 节点的补丁版本,并添加了针对 Ubuntu 节点的补丁版本。
GKE
更新日期:2024-07-10
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 7 月 10 日更新:以下 GKE 版本已更新,内含修复此漏洞的代码。将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
对于次要版本 1.26 和 1.27,请将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-033
发布日期:2024-06-10
更新日期:2024-09-26
参考编号:
CVE-2022-23222
2024 年 9 月 26 日更新:添加了 GDC (VMware) 的补丁版本。
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
更新日期:2024-09-26
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做?2024 年 9 月 26 日更新:以下版本的 GDC for VMware 软件已更新,内含修复此漏洞的代码。将适用于 VMware 集群的 GDC 软件升级到以下版本或更高版本:
|
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-031
发布日期:2024-05-24
参考编号:CVE-2024-4323
GKE
| 说明 | 严重程度 |
|---|---|
|
我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323),该漏洞可能会导致远程代码执行。Fluent Bit 版本 2.0.7 到 3.0.3 会受此问题影响。 GKE 不使用存在漏洞的 Fluent Bit 版本,因此不受影响。 该怎么做?GKE 不受此漏洞的影响。 您无需采取任何行动。 |
无 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323),该漏洞可能会导致远程代码执行。Fluent Bit 版本 2.0.7 到 3.0.3 会受此问题影响。 GKE on VMware 不使用存在漏洞的 Fluent Bit 版本,因此不受影响。 该怎么做?GKE on VMware 不受此漏洞的影响。 您无需采取任何行动。 |
无 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323),该漏洞可能会导致远程代码执行。Fluent Bit 版本 2.0.7 到 3.0.3 会受此问题影响。 GKE on AWS 不使用存在漏洞的 Fluent Bit 版本,因此不受影响。 该怎么做?GKE on AWS 不受此漏洞的影响。 您无需采取任何行动。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323),该漏洞可能会导致远程代码执行。Fluent Bit 版本 2.0.7 到 3.0.3 会受此问题影响。 GKE on Azure 不使用存在漏洞的 Fluent Bit 版本,因此不受影响。 该怎么做?GKE on Azure 不受此漏洞的影响。 您无需采取任何行动。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
我们在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323),该漏洞可能会导致远程代码执行。Fluent Bit 版本 2.0.7 到 3.0.3 会受此问题影响。 GKE on Bare Metal 不使用存在漏洞的 Fluent Bit 版本,因此不受影响。 该怎么做?GKE on Bare Metal 不受此漏洞的影响。 您无需采取任何行动。 |
无 |
GCP-2024-030
发布日期:2024-05-15
更新日期:2024-07-18
参考编号:
CVE-2023-52620
2024 年 7 月 18 日更新:为 GKE 上的 Ubuntu 节点池添加了补丁版本。
GKE
更新日期:2024-07-18
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 7 月 18 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-029
发布日期:2024-05-14
更新日期:2024-08-19
参考编号:
CVE-2024-26642
2024 年 8 月 19 日更新:添加了 Ubuntu 节点的补丁版本。
GKE
更新日期:2024-08-19
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 8 月 19 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。将 Ubuntu 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-028
发布日期:2024-05-13
更新日期:2024-05-22
参考编号:
CVE-2024-26581
2024 年 5 月 22 日更新:添加了 Ubuntu 节点的补丁版本。
GKE
更新日期:2024-05-22
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 5 月 22 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。将 Ubuntu 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-027
发布日期:2024-05-08
更新日期:2024-09-25
参考编号:
CVE-2024-26808
2024 年 9 月 25 日更新:添加了 GDC (VMware) 的补丁版本。
2024 年 5 月 15 日更新:添加了 GKE Ubuntu 节点池的补丁版本。
2024 年 5 月 9 日更新:将严重程度从“中”更正为“高”,并澄清默认配置中的 GKE Autopilot 集群不受影响。
GKE
更新日期:2024-05-09、2024-05-15
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
2024 年 5 月 9 日更新:将严重级别从“中”更正为“高”。
原始公告中指出 Autopilot 集群会受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 5 月 15 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。将 Ubuntu 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
更新日期:2024-09-25
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?2024 年 9 月 25 日更新:以下版本的 GDC for VMware 软件已更新,内含修复此漏洞的代码。将适用于 VMware 集群的 GDC 软件升级到以下版本或更高版本:
|
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-026
发布日期:2024-05-07
更新日期:2024-08-06
参考编号:
CVE-2024-26643
2024 年 8 月 6 日更新:为 GKE 上的 Ubuntu 节点池添加了补丁版本。
2024 年 5 月 9 日更新:将严重级别从“中”更正为“高”。
GKE
更新日期:2024-08-06
| 说明 | 严重程度 |
|---|---|
|
2024 年 5 月 9 日更新:将严重级别从“中”更正为“高”。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 8 月 6 日更新:为 GKE 上的 Ubuntu 节点池添加了补丁版本。 以下版本的 GKE 已进行了代码更新,修复了 Ubuntu 上的此漏洞。将 Ubuntu 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-024
发布日期:2024-04-25
更新日期:2024-07-18
参考编号:
CVE-2024-26585
2024 年 7 月 18 日更新:添加了 GKE 上 Ubuntu 节点池的补丁版本。
GKE
更新日期:2024-07-18
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 7 月 18 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 上的此漏洞的代码。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-022
发布日期:2024-04-03
更新日期:2024-07-17
参考编号:CVE-2023-45288
2024 年 7 月 17 日更新:添加了 GKE on VMware 的补丁版本。
2024 年 7 月 9 日更新:添加了 GKE on Bare Metal 的补丁版本。
2024 年 4 月 24 日更新:添加了 GKE 的补丁版本。
GKE
更新日期:2024-04-24
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-45288),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。已配置授权网络的 GKE 集群会通过限制网络访问来获得保护,但所有其他集群都会受到影响。 GKE Autopilot 和 Standard 集群会受到影响。 该怎么做?2024 年 4 月 24 日更新:添加了 GKE 的补丁版本。 以下版本的 GKE 包含 Golang 安全补丁,可修复此漏洞。将您的 GKE 集群升级到以下版本或更高版本:
Golang 项目于 2024 年 4 月 3 日发布了补丁。在包含这些补丁的 GKE 版本可用后,我们将更新本公告。如需申请在更短的时间内发布补丁,请与支持团队联系。 通过为控制平面访问权限配置授权网络来缓解此问题:您可以通过配置授权网络来降低集群遭受此类攻击的风险。按照说明为现有集群启用已获授权的网络。 如需详细了解授权网络如何控制对控制平面的访问权限,请参阅授权网络的工作原理。如需查看默认的授权网络访问权限,请参阅对控制平面端点的访问权限部分中的表格。 该补丁解决了哪些漏洞?此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。 |
高 |
GKE on VMware
更新日期:2024-07-17
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-45288),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。 该怎么做?2024 年 7 月 17 日更新:添加了 GKE on VMware 的补丁版本。 为了修复此漏洞,我们已在以下版本的 GKE on VMware 中添加了相应代码。将 GKE on VMware 集群升级到以下版本或更高版本:
Golang 项目于 2024 年 4 月 3 日发布了补丁。当包含这些补丁的 GKE on VMware 版本可用时,我们将更新本公告。如需申请在更短的时间内发布补丁,请与支持团队联系。 该补丁解决了哪些漏洞?此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-45288),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。 该怎么做?Golang 项目于 2024 年 4 月 3 日发布了补丁。在包含这些补丁的 GKE on AWS 版本可用后,我们将更新本公告。如需申请在更短的时间内发布补丁,请与支持团队联系。 该补丁解决了哪些漏洞?此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-45288),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。 该怎么做?Golang 项目于 2024 年 4 月 3 日发布了补丁。当包含这些补丁的 GKE on Azure 版本可用时,我们将更新本公告。如需申请在更短的时间内发布补丁,请与支持团队联系。 该补丁解决了哪些漏洞?此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。 |
高 |
GKE on Bare Metal
更新日期:2024-07-09
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-45288),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。 该怎么做?2024 年 7 月 9 日更新:添加了 GKE on Bare Metal 的补丁版本。 以下版本的 GKE on Bare Metal 包含用于修复此漏洞的代码。将您的 GKE on Bare Metal 集群升级到以下版本或更高版本:
Golang 项目于 2024 年 4 月 3 日发布了补丁。在包含这些补丁的 GKE on Bare Metal 版本可用后,我们将更新本公告。如需申请在更短的时间内发布补丁,请与支持团队联系。 该补丁解决了哪些漏洞?此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。 |
高 |
GCP-2024-018
发布日期:2024-03-12
更新日期:2024-05-06
参考编号:
CVE-2024-1085
2024 年 5 月 6 日更新:添加了 GKE Ubuntu 节点池的补丁版本,并从 2024 年 4 月 4 日更新中移除了多余的水平线元素。
2024 年 4 月 4 日更新:更正了 GKE Container-Optimized OS 节点池的最低版本。
GKE
更新日期:2024-05-06
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 5 月 6 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 中此漏洞的代码。将 Ubuntu 节点池升级到以下版本或更高版本。
2024 年 4 月 4 日更新:更正了 GKE Container-Optimized OS 节点池的最低版本。 包含上述 Container-Optimized OS 修复程序的最低 GKE 版本不正确。以下版本的 GKE 已进行了代码更新,以修复 Container-Optimized OS 上的此漏洞。将 Container-Optimized OS 节点池升级到以下版本或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-017
发布日期:2024-03-06
参考编号:
CVE-2023-3611
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-014
发布日期:2024-02-26
参考编号:
CVE-2023-3776
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-013
发布日期:2024-02-23
参考编号:
CVE-2023-3610
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-012
发布日期:2024-02-20
参考编号:
CVE-2024-0193
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-011
发布日期:2024-02-15
参考编号:
CVE-2023-6932
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权:
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-010
发布日期:2024-02-14
更新日期:2024-04-17
参考编号:
CVE-2023-6931
2024 年 4 月 17 日更新:添加了 GKE on VMware 的补丁版本。
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
更新日期:2024-04-17
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?2024 年 4 月 17 日更新:添加了 GKE on VMware 的补丁版本。 为了修复此漏洞,我们已对以下版本的 GKE on VMware 进行了代码更新。将集群升级到以下版本或更高版本:
|
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-008
发布日期:2024-02-12
参考编号:CVE-2023-5528
GKE
| 说明 | 严重程度 |
|---|---|
|
CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷,从而在这些节点上实现管理员权限提升。 运行 Windows Server 节点且使用树内存储插件的 GKE Standard 集群可能会受到影响。 使用 GKE Sandbox 的 GKE Autopilot 集群和 GKE 节点池不受影响,因为它们不支持 Windows Server 节点。 该怎么做?确定您的集群上是否有正在使用的 Windows Server 节点: kubectl get nodes -l kubernetes.io/os=windows 检查审核日志是否存在漏洞被利用的迹象。您可以审核 Kubernetes 审核日志,以确定是否有人利用了此漏洞。如果永久性卷创建事件的本地路径字段包含特殊字符,则明显表明漏洞被利用了。 将您的 GKE 集群和节点池更新为修补后的版本。以下版本的 GKE 已更新以修复此漏洞。 即使您启用了节点自动升级,我们仍建议您将集群和 Windows Server 节点池手动升级到以下 GKE 版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 该补丁解决了哪些漏洞?CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷,从而在这些节点上实现管理员权限提升。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷,从而在这些节点上实现管理员权限提升。 运行 Windows Server 节点且使用树内存储插件的 GKE on VMware 集群可能会受到影响。 该怎么做?确定您的集群上是否有正在使用的 Windows Server 节点: kubectl get nodes -l kubernetes.io/os=windows 检查审核日志是否存在漏洞被利用的迹象。您可以审核 Kubernetes 审核日志,以确定是否有人利用了此漏洞。如果永久性卷创建事件的本地路径字段包含特殊字符,则明显表明漏洞被利用了。 将 GKE on VMware 集群和节点池更新到修补后的版本。为了修复此漏洞,我们已对以下版本的 GKE on VMware 进行了更新。 即使您启用了节点自动升级,我们仍建议您将集群和 Windows Server 节点池手动升级到以下 GKE on VMware 版本之一或更高版本:
该补丁解决了哪些漏洞?CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷,从而在这些节点上实现管理员权限提升。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷,从而在这些节点上实现管理员权限提升。 GKE on AWS 集群不受影响。 该怎么做?无需执行任何操作 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷,从而在这些节点上实现管理员权限提升。 GKE on Azure 集群不受影响。 该怎么做?无需执行任何操作 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷,从而在这些节点上实现管理员权限提升。 GKE on Bare Metal 集群不受影响。 该怎么做?无需执行任何操作 |
无 |
GCP-2024-005
发布日期:2024-01-31
更新日期:2024-05-06
参考编号: CVE-2024-21626
2024 年 5 月 6 日更新:添加了 GKE on AWS 和 GKE on Azure 的补丁版本。
2024 年 4 月 2 日更新:添加了 GKE on Bare Metal 的补丁版本
2024 年 3 月 6 日更新:添加了 GKE on VMware 的补丁版本
2024 年 2 月 28 日更新:添加了 Ubuntu 的补丁版本
2024 年 2 月 15 日更新:澄清了 2024 年 2 月 14 日更新中 1.25 和 1.26 Ubuntu 补丁版本可能会导致节点不健康。
2024 年 2 月 14 日更新:添加了 Ubuntu 的补丁版本
2024 年 2 月 6 日更新:添加了 Container-Optimized OS 的补丁版本。
GKE
更新日期:2024-03-06
| 说明 | 严重程度 |
|---|---|
|
在 GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 2 月 28 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 中此漏洞的代码。将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
2024 年 2 月 15 日更新:由于存在问题,2024 年 2 月 14 日更新中的以下 Ubuntu 补丁版本可能会导致节点进入不健康状态。请勿升级到以下补丁版本。当 Ubuntu 的较新补丁版本可用于 1.25 和 1.26 时,我们将更新本公告。
如果您已升级到这些补丁版本之一,请将节点池手动降级到发布渠道中的早期版本。 2024 年 2 月 14 日更新:以下 GKE 版本已更新,内含修复 Ubuntu 中此漏洞的代码。将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
2024 年 2 月 6 日更新:以下 GKE 版本已更新,内含修复 Container-Optimized OS 中此漏洞的代码。 出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和 Container-Optimized OS 节点池手动升级到以下 GKE 版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 我们正在使用代码更新 GKE 以修复此漏洞。在补丁版本可用后,我们将更新本公告。 该补丁解决了哪些漏洞?
|
高 |
GKE on VMware
更新日期:2024-03-06
| 说明 | 严重程度 |
|---|---|
|
在 该怎么做?2024 年 3 月 6 日更新:以下版本的 GKE on VMware 已更新,包含用于修复此漏洞的代码。将集群升级到以下版本或更高版本:
GKE on VMware 的补丁版本正在开发,GKE on VMware 的严重程度评估正在进行。如果有进展信息,我们将相应更新此公告。 该补丁解决了哪些漏洞?
|
高 |
GKE on AWS
更新日期:2024-05-06
| 说明 | 严重程度 |
|---|---|
|
在 该怎么做?2024 年 5 月 6 日更新:以下版本的 GKE on AWS 已更新,包含针对 CVE-2024-21626 的补丁:
GKE on AWS 的补丁版本正在开发,GKE on AWS 的严重程度评估正在进行。如果有进展信息,我们将相应更新此公告。 该补丁解决了哪些漏洞?
|
高 |
GKE on Azure
更新日期:2024-05-06
| 说明 | 严重程度 |
|---|---|
|
在 该怎么做?2024 年 5 月 6 日更新:以下 GKE on Azure 版本已更新,包含针对 CVE-2024-21626 的补丁:
GKE on Azure 的补丁版本正在开发,GKE on Azure 的严重程度评估正在进行。如果有进展信息,我们将相应更新此公告。 该补丁解决了哪些漏洞?
|
高 |
GKE on Bare Metal
更新日期:2024-04-02
| 说明 | 严重程度 |
|---|---|
|
在 该怎么做?2024 年 4 月 2 日更新:以下 GKE on Bare Metal 版本已更新,内含修复此漏洞的代码。将集群升级到以下版本或更高版本:
GKE on Bare Metal 的补丁版本正在开发,GKE on Bare Metal 的严重程度评估正在进行。如果有进展信息,我们将相应更新此公告。 该补丁解决了哪些漏洞?
|
高 |
GCP-2024-004
发布日期:2024-01-24
更新日期:2024-02-07
参考编号:
CVE-2023-6817
2024 年 2 月 7 日更新:添加了 Ubuntu 的补丁版本。
GKE
更新日期:2024-02-07
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 2 月 7 日更新:以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2024-003
发布日期:2024 年 1 月 19 日
更新日期:2024 年 1 月 26 日
2024 年 1 月 26 日更新:阐明了受影响的集群数量以及我们为帮助缓解影响而采取的措施。
GKE
更新日期:2024-01-26
| 说明 | 严重程度 |
|---|---|
|
2024 年 1 月 26 日更新:发现少数 GKE 集群存在客户创建的涉及 我们已经确定了若干集群,其中用户已向 最近,一位安全研究人员通过我们的漏洞报告计划报告了有关存在 RBAC 配置错误的集群的发现。 Google 的身份验证原则是在不增加复杂配置步骤的情况下,使 Google Cloud 和 GKE 的身份验证尽可能简单且安全。
身份验证只能验证用户的身份,授权则决定了用户的访问权限。因此,GKE 中的 考虑到这一点,我们采取了多项措施来降低用户对 Kubernetes 内置用户和群组(包括 为了防止用户在使用这些系统用户/群组时发生意外授权错误,我们采取了以下措施:
应用授权网络限制的集群有第一层防御:它们无法直接从互联网遭受攻击。但我们仍建议移除这些绑定,以实现纵深防御并防止网络控制错误。 我们正在研究如何通过预防和检测进一步保护这些系统用户/群组免受用户 RBAC 配置错误的困扰。 该怎么做?为防止任何新的 应按照此指南检查现有绑定。 |
中 |
GKE on VMware
目前无更新。
GKE on AWS
目前无更新。
GKE on Azure
目前无更新。
GKE on Bare Metal
目前无更新。
GCP-2024-002
发布日期:2024-01-17
更新日期:2024-02-20
参考编号:
CVE-2023-6111
2024 年 2 月 20 日更新:添加了 GKE on VMware 的补丁版本。
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权。
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
更新日期:2024-02-20
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权。
该怎么做?2024 年 2 月 20 日更新:以下 GKE on VMware 版本已更新,内含修复此漏洞的代码。将集群升级到以下版本或更高版本:1.28.100 |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2023-051
发布日期:2023-12-28
参考编号:
CVE-2023-3609
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2023-050
发布日期:2023-12-27
参考编号:
CVE-2023-3389
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2023-049
发布日期:2023-12-20
参考编号:
CVE-2023-3090
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2023-048
发布日期:2023-12-15
更新日期:2023-12-21
参考编号:
CVE-2023-3390
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
GKE
更新日期:2023-12-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2023-047
发布日期:2023-12-14
GKE
| 说明 | 严重程度 |
|---|---|
|
破解了 Fluent Bit 日志记录容器的攻击者可以将该访问权限与 Cloud Service Mesh(在已启用它的集群上)所需的高权限相结合,以提升集群中的权限。Fluent Bit 和 Cloud Service Mesh 的问题已得到缓解,现在可使用修复程序。这些漏洞在 GKE 中无法单独利用,需要先进行初始攻击。 我们没有发现任何利用这些漏洞发起的攻击。 这些问题是通过我们的漏洞奖励计划报告的。 该怎么做?为了修复 Fluent Bit 中的这些漏洞以及为托管式 Cloud Service Mesh 用户修复这些漏洞,以下版本的 GKE 已更新。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一或更高版本:
借助发布渠道的最新功能,您可以应用补丁,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 如果您的集群使用集群内 Cloud Service Mesh,您必须手动升级为以下版本之一(版本说明):
该补丁解决了哪些漏洞? 本公告解决的漏洞要求攻击者入侵 Fluent Bit 日志记录容器。我们不知道 Fluent Bit 中是否有任何会导致此提升权限先决条件的漏洞。我们已针对这些漏洞进行了补丁修复,以加强安全措施,防止未来出现完整的攻击链 GKE 使用 Fluent Bit 来处理在集群上运行的工作负载的日志。 GKE 上的 Fluent Bit 也已配置为收集 Cloud Run 工作负载的日志。用于收集这些日志的卷挂载使 Fluent Bit 可以访问在节点上运行的其他 Pod 的 Kubernetes 服务账号令牌。研究人员利用此访问权限发现了已启用 Cloud Service Mesh 的集群的高度特权服务账号令牌。 Cloud Service Mesh 需要高级权限才能对集群的配置进行必要的修改,包括创建和删除 Pod 的功能。研究人员使用 Cloud Service Mesh 的权限 Kubernetes 服务账号令牌,通过创建具有集群管理员权限的新 Pod 来提升最初的受损权限 我们已移除 Fluent Bit 对服务账号令牌的访问权限,并重新设计了 Cloud Service Mesh 的功能以移除多余的权限。 |
中 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
只有使用 Cloud Service Mesh 的 GKE on VMware 集群会受到影响。 该怎么做?如果您的集群使用集群内 Cloud Service Mesh,您必须手动升级为以下版本之一(版本说明):
该补丁解决了哪些漏洞?本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器,或者拥有集群节点上的 root 权限。我们不知道是否有任何现有漏洞会导致此提升权限先决条件。我们已针对这些漏洞进行了补丁修复,以加强安全措施,防止未来出现完整的攻击链。 Cloud Service Mesh 需要高级权限才能对集群的配置进行必要的修改,包括创建和删除 Pod 的功能。研究人员使用 Cloud Service Mesh 的权限 Kubernetes 服务账号令牌,通过创建具有集群管理员权限的新 Pod 来提升最初的受损权限。 我们重新设计了 Cloud Service Mesh 的功能,以移除过度特权。 |
中 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
只有使用 Cloud Service Mesh 的 GKE on AWS 集群会受到影响。 该怎么做?如果您的集群使用集群内 Cloud Service Mesh,您必须手动升级为以下版本之一(版本说明):
该补丁解决了哪些漏洞?本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器,或者拥有集群节点上的 root 权限。我们不知道是否有任何现有漏洞会导致此提升权限先决条件。我们已针对这些漏洞进行了补丁修复,以加强安全措施,防止未来出现完整的攻击链。 Cloud Service Mesh 需要高级权限才能对集群的配置进行必要的修改,包括创建和删除 Pod 的功能。研究人员使用 Cloud Service Mesh 的权限 Kubernetes 服务账号令牌,通过创建具有集群管理员权限的新 Pod 来提升最初的受损权限。 我们重新设计了 Cloud Service Mesh 的功能,以移除过度特权。 |
中 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
只有使用 Cloud Service Mesh 的 GKE on Azure 集群会受到影响。 该怎么做?如果您的集群使用集群内 Cloud Service Mesh,您必须手动升级为以下版本之一(版本说明):
该补丁解决了哪些漏洞?本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器,或者拥有集群节点上的 root 权限。我们不知道是否有任何现有漏洞会导致此提升权限先决条件。我们已针对这些漏洞进行了修补,以加强安全措施,防止未来出现完整的攻击链。 Cloud Service Mesh 需要高级权限才能对集群的配置进行必要的修改,包括创建和删除 Pod 的功能。研究人员使用 Cloud Service Mesh 的权限 Kubernetes 服务账号令牌,通过创建具有集群管理员权限的新 Pod 来提升最初的受损权限。 我们重新设计了 Cloud Service Mesh 的功能,以移除过度特权。 |
中 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
只有使用 Cloud Service Mesh 的 GKE on Bare Metal 集群会受到影响。 该怎么做?如果您的集群使用集群内 Cloud Service Mesh,您必须手动升级为以下版本之一(版本说明):
该补丁解决了哪些漏洞?本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器,或者拥有集群节点上的 root 权限。我们不知道是否有任何现有漏洞会导致此提升权限先决条件。我们已针对这些漏洞进行了补丁修复,以加强安全措施,防止未来出现完整的攻击链。 Anthos Service Mesh 需要高权限才能对集群的配置进行必要的修改,包括创建和删除 Pod 的功能。研究人员使用 Cloud Service Mesh 的权限 Kubernetes 服务账号令牌,通过创建具有集群管理员权限的新 Pod 来提升最初的受损权限。 我们重新设计了 Cloud Service Mesh 的功能,以移除过度特权。 |
中 |
GCP-2023-046
发布日期:2023-11-22
更新日期:2024-03-04
参考编号:
CVE-2023-5717
2024 年 3 月 4 日更新:添加了 GKE on VMware 的 GKE 版本。
2024 年 1 月 22 日更新:添加了 Ubuntu 补丁版本。
GKE
更新日期:2024-01-22
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2024 年 1 月 22 日更新:以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
更新日期:2024-02-29
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?2024 年 3 月 4 日更新:以下 GKE on VMware 版本已更新,内含修复此漏洞的代码。将集群升级到以下补丁版本或更高版本:
|
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2023-045
发布日期:2023-11-20
更新日期:2023-12-21
参考编号:
CVE-2023-5197
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
GKE
更新日期:2023-12-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下次要版本受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本:
以下次要版本受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2023-042
发布日期:2023-11-13
更新日期:2023-11-15
参考编号:
CVE-2023-4147
2023 年 11 月 15 日更新:明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。
GKE
更新日期:2023-11-15
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
GKE Standard 集群会受到影响。GKE Autopilot 集群不受影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2023 年 11 月 15 日更新:如果您在节点中使用该次要版本,只需升级到本公告中列出的其中一个补丁版本。例如,如果您使用 GKE 版本 1.27,则应升级到相应的已打补丁版本。不过,如果您使用的是 GKE 1.24 版,则无需升级到已打补丁的版本。 将 Container-Optimized OS 节点池升级到以下版本之一或更高版本:
将 Ubuntu 节点池升级到以下版本之一或更高版本:
如果您的集群在其自己的发布渠道中运行相同的次要版本,则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点,直到补丁版本成为发布渠道中的默认版本。如需了解详情,请参阅从较新渠道运行补丁版本。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2023-041
发布日期:2023-11-08
更新日期:2023-11-21、2023-12-05、2023-12-21
参考编号:
CVE-2023-4004
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
2023 年 12 月 5 日更新:为 Container-Optimized OS 节点池添加了其他 GKE 版本。
2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。
GKE
更新日期:2023-11-21、2023-12-05、2023-12-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2023 年 12 月 5 日更新:之前缺少某些 GKE 版本。以下是更新后的 GKE 版本列表,您可以将 Container-Optimized OS 更新为这些版本:
2023 年 11 月 21 日更新:如果您在节点中使用该次要版本,只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。 将 Container-Optimized OS 节点池升级到以下版本之一或更高版本:
将 Ubuntu 节点池升级到以下版本之一或更高版本:
|
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此漏洞的影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2023-040
发布日期:2023-11-06
更新日期:2023-11-21、2023-12-21
参考编号:
CVE-2023-4921
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。
GKE
更新日期:2023-11-21、2023-12-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2023 年 11 月 21 日更新:如果您在节点中使用该次要版本,只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。 将 Container-Optimized OS 节点池升级到以下版本之一或更高版本:
将 Ubuntu 节点池升级到以下版本之一或更高版本:
|
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此漏洞的影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2023-039
发布日期:2023-11-06
更新日期:2023-11-21、2023-11-16
参考编号:
CVE-2023-4622
2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。
2023 年 11 月 16 日更新:与此安全公告关联的漏洞为 CVE-2023-4622。在先前版本的安全公告中,CVE-2023-4623 被错误地列为漏洞。
GKE
更新日期:2023-11-21、2023-11-16
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2023 年 11 月 21 日更新:如果您在节点中使用该次要版本,只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。 将 Container-Optimized OS 节点池升级到以下版本之一或更高版本:
将 Ubuntu 节点池升级到以下版本之一或更高版本:
|
高 |
GKE on VMware
更新日期:2023-11-16
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
更新日期:2023-11-16
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
更新日期:2023-11-16
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
更新日期:2023-11-16
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此漏洞的影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2023-038
发布日期:2023-11-06
更新日期:2023-11-21、2023-12-21
参考编号:
CVE-2023-4623
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。
GKE
更新日期:2023-11-21、2023-12-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2023 年 11 月 21 日更新:如果您在节点中使用该次要版本,只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。 将 Container-Optimized OS 节点池升级到以下版本之一或更高版本:
将 Ubuntu 节点池升级到以下版本之一或更高版本:
|
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此漏洞的影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2023-037
发布日期:2023-11-06
更新日期:2023-11-21、2023-12-21
参考编号:
CVE-2023-4015
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。
GKE
更新日期:2023-11-21、2023-12-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2023 年 11 月 21 日更新:如果您在节点中使用该次要版本,只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。 将 Container-Optimized OS 节点池升级到以下版本之一或更高版本:
将 Ubuntu 节点池升级到以下版本之一或更高版本:
|
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
待处理 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此漏洞的影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2023-035
发布日期:2023-10-26
更新日期:2023-11-21、2023-12-21
参考编号:
CVE-2023-4206、CVE-2023-4207、CVE-2023-4208、CVE-2023-4128
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。
GKE
更新日期:2023-11-21、2023-12-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?2023 年 11 月 21 日更新:如果您在节点中使用该次要版本,只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。 将 Container-Optimized OS 节点池升级到以下版本之一或更高版本:
将 Ubuntu 节点池升级到以下版本之一或更高版本:
|
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此漏洞的影响,因为它未在其发行版中捆绑操作系统。 |
高 |
GCP-2023-033
发布日期:2023-10-24
更新日期:2023-11-21、2023-12-21
参考编号:
CVE-2023-3777
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响,并且 GKE Sandbox 工作负载不受影响。
2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。
GKE
更新日期:2023-11-21、2023-12-21
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群会受到影响。 该怎么做?2023 年 11 月 21 日更新:如果您在节点中使用该次要版本,只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。 将 Container-Optimized OS 节点池升级到以下版本之一或更高版本:
将 Ubuntu 节点池升级到以下版本之一或更高版本:
|
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做? |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。
该怎么做?您无需执行任何操作。GKE on Bare Metal 不受此影响,因为它未在其发行版中捆绑操作系统。 |
GCP-2023-030
发布日期:2023-10-10
更新日期:2024-03-20
参考编号:CVE-2023-44487、CVE-2023-39325
2024 年 3 月 20 日更新:添加了 GKE on AWS 和 GKE on Azure 的补丁版本
2024 年 2 月 14 日更新:添加了 GKE on VMware 的补丁版本
2023 年 11 月 9 日更新:添加了 CVE-2023-39325。更新了 GKE 版本,添加了针对 CVE-2023-44487 和 CVE-2023-39325 的最新补丁。
GKE
更新日期:2023-11-09
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。已配置授权网络的 GKE 集群会通过限制网络访问来获得保护,但所有其他集群都会受到影响。 该怎么做?2023 年 11 月 9 日更新:我们发布了包含 Go 和 Kubernetes 安全补丁的 GKE 新版本,您现在可以将集群更新为这些版本。在未来几周内,我们将对 GKE 控制平面进行更多更改,以进一步缓解此问题。 以下 GKE 版本已更新,添加了针对 CVE-2023-44487 和 CVE-2023-39325 的补丁:
我们建议您尽快应用以下缓解措施,并在可用时升级到最新的补丁版本。 Golang 补丁将于 10 月 10 日发布。一旦可用,我们将使用这些补丁构建和限定新的 Kubernetes API 服务器,并发布 GKE 修补版本。GKE 版本可用后,我们将更新本公告,提供升级控制平面的指导;在可用于您的集群时,我们也会在 GKE 安全状况中显示补丁。如需在您的渠道有可用的补丁时接收 Pub/Sub 通知,请启用集群通知。 借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 通过为控制平面访问权限配置授权网络来缓解此问题: 您可以为现有集群添加已获授权的网络。如需了解详情,请参阅现有集群的已获授权网络。 除了您添加的授权网络之外,还有一些预设 IP 地址可以访问 GKE 控制平面。如需详细了解这些地址,请参阅对控制平面端点的访问权限。以下内容总结了集群隔离:
该补丁解决了哪些漏洞?漏洞 CVE-2023-44487 允许攻击者对 GKE 控制平面节点执行拒绝服务攻击。 |
高 |
GKE on VMware
更新日期:2024-02-14
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。GKE on VMware 会创建 Kubernetes 集群,这些集群默认无法直接访问互联网,因此可以防范此漏洞。 该怎么做?2024 年 2 月 14 日更新:以下 GKE on VMware 版本已更新,内含修复此漏洞的代码。将集群升级到以下补丁版本或更高版本:
如果您已在 VMware Kubernetes 集群上配置 GKE,以便直接访问互联网或其他不受信任的网络,我们建议您与防火墙管理员合作,以阻止或限制此类访问。 在最新的补丁版本可用时,我们建议您尽快升级到该版本。 Golang 补丁将于 10 月 10 日发布。一旦可用,我们将使用这些补丁构建和限定新的 Kubernetes API 服务器,并发布 GKE 修补版本。GKE 版本可用后,我们将更新本公告,提供升级控制平面到哪个版本的指导。 该补丁解决了哪些漏洞?漏洞 CVE-2023-44487 允许攻击者对 Kubernetes 控制平面节点执行拒绝服务攻击。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。GKE on AWS 会创建专用 Kubernetes 集群,这些集群默认无法直接访问互联网,因此可以防范此漏洞。 该怎么做?2024 年 3 月 20 日更新:以下 GKE on AWS 版本已更新,包含针对 CVE-2023-44487 的补丁:
如果您已将 GKE on AWS 配置为直接访问互联网或其他不受信任的网络,我们建议您与防火墙管理员合作,以阻止或限制此类访问。 在最新的补丁版本可用时,我们建议您尽快升级到该版本。 Golang 补丁将于 10 月 10 日发布。一旦可用,我们将使用这些补丁构建和限定新的 Kubernetes API 服务器,并发布 GKE 修补版本。GKE 版本可用后,我们将更新本公告,提供升级控制平面到哪个版本的指导。 该补丁解决了哪些漏洞?漏洞 CVE-2023-44487 允许攻击者对 Kubernetes 控制平面节点执行拒绝服务攻击。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。GKE on Azure 会创建专用 Kubernetes 集群,这些集群默认无法直接访问互联网,因此可以防范此漏洞。 该怎么做?2024 年 3 月 20 日更新:以下 GKE on Azure 版本已更新,包含针对 CVE-2023-44487 的补丁:
如果您已在 Azure 集群上配置 GKE 以直接访问互联网或其他不受信任的网络,我们建议您与防火墙管理员合作,以阻止或限制此类访问。 在最新的补丁版本可用时,我们建议您尽快升级到该版本。 Golang 补丁将于 10 月 10 日发布。一旦可用,我们将使用这些补丁构建和限定新的 Kubernetes API 服务器,并发布 GKE 修补版本。GKE 版本可用后,我们将更新本公告,提供升级控制平面到哪个版本的指导。该补丁解决了哪些漏洞?漏洞 CVE-2023-44487 允许攻击者对 Kubernetes 控制平面节点执行拒绝服务攻击。 |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487),包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。Anthos on Bare Metal 会创建 Kubernetes 集群,这些集群默认无法直接访问互联网,因此可以防范此漏洞。 该怎么做?如果您已将 Anthos on Bare Metal Kubernetes 集群配置为可直接访问互联网或其他不受信任的网络,我们建议您与防火墙管理员合作,以阻止或限制此类访问。如需了解详情,请参阅 GKE on Bare Metal 安全概览。 在最新的补丁版本可用时,我们建议您尽快升级到该版本。 Golang 补丁将于 10 月 10 日发布。一旦可用,我们将使用这些补丁构建和限定新的 Kubernetes API 服务器,并发布 GKE 修补版本。GKE 版本可用后,我们将更新本公告,提供升级控制平面到哪个版本的指导。 该补丁解决了哪些漏洞?漏洞 CVE-2023-44487 允许攻击者对 Kubernetes 控制平面节点执行拒绝服务攻击。 |
高 |
GCP-2023-026
发布日期:2023-09-06
参考编号:CVE-2023-3676、CVE-2023-3955、 CVE-2023-3893
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了三个漏洞(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893),利用这些漏洞,可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。这些漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。 只有包含 Windows 节点的 GKE 集群才会受到影响。 该怎么做?以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一:
GKE 控制平面将在 2023 年 9 月 4 日当周更新,以将 csi-proxy 更新到 1.1.3 版。如果您在控制平面更新之前更新节点,则需要在更新后再次更新节点,以利用新的代理。您可以运行 借助发布渠道的最新功能,您可以应用补丁,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?利用 CVE-2023-3676,恶意行为者可以使用包含 PowerShell 命令的主机路径字符串来制作 Pod 规范。Kubelet 缺少输入值的消毒功能,并将此精心设计的路径字符串作为参数传递给命令执行程序,在其中它会将字符串的一部分作为单独的命令执行。这些命令将使用与 Kubelet 相同的管理员权限来运行。 在 CVE-2023-3955 中,Kubelet 会为可以创建 Pod 的用户授予使用与 Kubelet 代理相同的权限级别(特权)执行代码的权限。 在 CVE-2023-3893 中,由于缺少类似的输入检查,因此可以在运行 kubernetes-csi-proxy 的 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。 Kubernetes 审核日志可用于检测是否有人利用了此漏洞。使用嵌入式 PowerShell 命令的 pod 创建事件是利用漏洞的一种明显迹象。 包含嵌入式 PowerShell 命令并装载到 Pod 的 ConfigMap 和 Secret 也是利用漏洞的一种明显迹象。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了三个漏洞(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893),利用这些漏洞,可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。这些漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。 只有包含 Windows 节点的集群才会受到影响。 该怎么做?该补丁解决了哪些漏洞?利用 CVE-2023-3676,恶意行为者可以使用包含 PowerShell 命令的主机路径字符串来制作 Pod 规范。Kubelet 缺少输入数据消毒功能,并且会将此精心设计的路径字符串作为参数传递给命令执行程序,在其中,它会将字符串的各个部分作为单独的命令执行。这些命令将使用与 Kubelet 相同的管理员权限来运行。 在 CVE-2023-3955 中,Kubelet 会为可以创建 Pod 的用户授予使用与 Kubelet 代理相同的权限级别(特权)执行代码的权限。 在 CVE-2023-3893 中,由于缺少类似的输入检查,可以在运行 kubernetes-csi-proxy 的 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。 Kubernetes 审核日志可用于检测是否有人利用了此漏洞。使用嵌入式 PowerShell 命令的 pod 创建事件是利用漏洞的一种明显迹象。 包含嵌入式 PowerShell 命令并装载到 Pod 的 ConfigMap 和 Secret 也是利用漏洞的一种明显迹象。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了三个漏洞(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893),利用这些漏洞,可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。这些漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。 该怎么做?GKE on AWS 不受这些 CVE 的影响您无需采取任何行动。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了三个漏洞(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893),利用这些漏洞,可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。这些漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。 该怎么做?GKE on Azure 不受这些 CVE 的影响您无需采取任何行动。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了三个漏洞(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893),利用这些漏洞,可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。这些漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。 该怎么做?GKE on Bare Metal 不受这些 CVE 的影响。您无需采取任何行动。 |
无 |
GCP-2023-018
发布日期:2023-06-27
参考编号:CVE-2023-2235
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235),此漏洞可能会导致节点上的权限提升。GKE Autopilot 集群会受到影响,因为 GKE Autopilot 节点始终使用 Container-Optimized OS 节点映像。运行 Container-Optimized OS 节点映像的 1.25 版或更高版本的 GKE Standard 集群会受到影响。 如果 GKE 集群仅运行 Ubuntu 节点映像、运行 1.25 之前的版本或使用 GKE Sandbox,则不会受到影响。 该怎么做?以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 解决了哪些漏洞?在 CVE-2023-2235 漏洞中,perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state,但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event(),从而可以使用悬垂指针,导致 use-after-free 漏洞。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235),此漏洞可能会导致节点上的权限提升。GKE on VMware 集群会受到影响。 该怎么做?解决了哪些漏洞?在 CVE-2023-2235 漏洞中,perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state,但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event(),从而可以使用悬垂指针,导致 use-after-free 漏洞。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235),此漏洞可能会导致节点上的权限提升。GKE on AWS 集群会受到影响。 该怎么做?该补丁解决了哪些漏洞?在 CVE-2023-2235 漏洞中,perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state,但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event(),从而可以使用悬垂指针,导致 use-after-free 漏洞。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235),此漏洞可能会导致节点上的权限提升。GKE on Azure 集群会受到影响。 该怎么做?该补丁解决了哪些漏洞?在 CVE-2023-2235 漏洞中,perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state,但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event(),从而可以使用悬垂指针,导致 use-after-free 漏洞。 |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235),此漏洞可能会导致节点上的权限提升。 Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。 该怎么做?您无需采取任何行动。 |
无 |
GCP-2023-017
发布日期:2023-06-26
更新日期:2023-07-11
参考编号:CVE-2023-31436
2023-07-11 更新:新的 GKE 版本已更新,包含修复 CVE-2023-31436 的最新 Ubuntu 版本。
GKE
更新日期:2023-07-11
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436),此漏洞可能会导致节点上的权限提升。GKE 集群(包括 Autopilot 集群)会受到影响。 使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?2023-07-11 更新:Ubuntu 补丁版本已发布。 以下 GKE 版本已更新,包含修复 CVE-2023-31436 的最新 Ubuntu 版本:
以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 解决了哪些漏洞?在 CVE-2023-31436 中,在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞,攻击者通过不正确的网络设备 MTU 值(用作 lmax)触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436),此漏洞可能会导致节点上的权限提升。GKE on VMware 集群会受到影响。 该怎么做?解决了哪些漏洞?在 CVE-2023-31436 中,在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞,攻击者通过不正确的网络设备 MTU 值(用作 lmax)触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436),此漏洞可能会导致节点上的权限提升。GKE on AWS 集群会受到影响。 该怎么做?该补丁解决了哪些漏洞?在 CVE-2023-31436 中,在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞,攻击者通过不正确的网络设备 MTU 值(用作 lmax)触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436),此漏洞可能会导致节点上的权限提升。GKE on Azure 集群会受到影响。 该怎么做?该补丁解决了哪些漏洞?在 CVE-2023-31436 中,在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞,攻击者通过不正确的网络设备 MTU 值(用作 lmax)触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。 |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436),此漏洞可能会导致节点上的权限提升。 Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。 该怎么做?您无需采取任何行动。 |
无 |
GCP-2023-016
发布日期:2023-06-26
参考编号:CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Cloud Service Mesh (ASM) 中使用的 Envoy 中发现了多个漏洞。这些漏洞单独报告为 GCP-2023-002。 GKE 不附带 ASM,因此不受这些漏洞的影响。 该怎么做?如果您已为 GKE 集群单独安装 ASM,请参阅 GCP-2023-002。 |
无 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 GKE on VMware 中的 Cloud Service Mesh 中使用的 Envoy 中发现了多个漏洞(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487),恶意攻击者可利用这些漏洞发起拒绝服务攻击或使 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002,但我们希望确保 GKE Enterprise 客户更新包含 ASM 的版本。 该怎么做?为了修复此漏洞,我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一:
该补丁解决了哪些漏洞?CVE-2023-27496:如果 Envoy 在启用 OAuth 过滤器的情况下运行,恶意行为体可能会构造请求,通过使 Envoy 崩溃形成拒绝服务攻击。 CVE-2023-27488:使用 ext_authz 时,攻击者可以利用此漏洞绕过身份验证检查。 CVE-2023-27493:Envoy 配置还必须包含一个选项,用于添加使用请求中的输入生成的请求标头,例如对等证书 SAN。 CVE-2023-27492:攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。 CVE-2023-27491:攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求,从而触发 HTTP/1 上游服务的解析错误。
CVE-2023-27487:标头 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Cloud Service Mesh 中使用的 Envoy 中发现了多个漏洞(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)。这些漏洞单独报告为 GCP-2023-002。 GKE on AWS 不附带 ASM,因此不受影响。 该怎么做?您无需采取任何行动。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Cloud Service Mesh 中使用的 Envoy 中发现了多个漏洞(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)。这些漏洞单独报告为 GCP-2023-002。 GKE on Azure 不附带 ASM,因此不受影响。 该怎么做?您无需采取任何行动。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 GKE on Bare Metal 中的 Cloud Service Mesh 中使用的 Envoy 中发现了多个漏洞(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487),恶意攻击者可利用这些漏洞发起拒绝服务攻击或使 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002,但我们希望确保 GKE Enterprise 客户更新包含 ASM 的版本。 该怎么做?为了修复此漏洞,我们已对以下版本的 GKE on Bare Metal 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on Bare Metal 版本之一:
该补丁解决了哪些漏洞?CVE-2023-27496:如果 Envoy 在启用 OAuth 过滤器的情况下运行,恶意行为体可能会构造请求,通过使 Envoy 崩溃形成拒绝服务攻击。 CVE-2023-27488:使用 ext_authz 时,攻击者可以利用此漏洞绕过身份验证检查。 CVE-2023-27493:Envoy 配置还必须包含一个选项,用于添加使用请求中的输入生成的请求标头,例如对等证书 SAN。 CVE-2023-27492:攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。 CVE-2023-27491:攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求,从而触发 HTTP/1 上游服务的解析错误。
CVE-2023-27487:标头 |
高 |
GCP-2023-015
发布日期:2023-06-20
参考编号:CVE-2023-0468
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468),此漏洞可能导致节点上的拒绝服务攻击。GKE 集群(包括 Autopilot 集群)会受到影响。 使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 解决了哪些漏洞?在 CVE-2023-0468 中,在 Linux 内核中 io_uring 子组件中的 io_poll_check_events 中的 io_uring/poll.c 中发现了 use-after-free 漏洞。此漏洞可能会导致 NULL 指针解引用,并且可能导致系统崩溃,进而导致拒绝服务攻击。 |
中 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468),此漏洞可能导致节点上的拒绝服务攻击。 GKE on VMware 使用 Linux 内核 5.4 版,因此不受此 CVE 的影响。 该怎么做?
|
无 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468),此漏洞可能导致节点上的拒绝服务攻击。 GKE on AWS 不受此 CVE 的影响。 该怎么做?
|
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468),此漏洞可能导致节点上的拒绝服务攻击。 GKE on Azure 不受此 CVE 的影响 该怎么做?
|
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468),此漏洞可能导致节点上的拒绝服务攻击。 Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。 该怎么做?
|
无 |
GCP-2023-014
发布日期:2023-06-15
更新日期:2023-08-11
参考编号:CVE-2023-2727、CVE-2023-2728
2023 年 8 月 11 日更新:添加了 GKE on VMware、GKE on AWS、GKE on Azure 和 GKE on Bare Metal 的补丁版本
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了两个新的安全问题:使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时,用户可能能够启动绕过政策限制的容器。 GKE 不使用 ImagePolicyWebhook,因此不受 CVE-2023-2727 的影响。 所有版本的 GKE 都可能易受 CVE-2023-2728 的影响。该怎么做?以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 解决了哪些漏洞?在 CVE-2023-2727 中,在使用临时容器时,用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时,Kubernetes 集群才会受到影响。还可以使用验证 webhook(例如 Gatekeeper 和 Kyverno)来强制执行相同的限制,以缓解此 CVE。 在 CVE-2023-2728 中,在使用临时容器时,用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下,集群会受到此漏洞的影响:
|
中 |
GKE on VMware
更新日期:2023-08-11
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了两个新的安全问题:使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时,用户可能能够启动绕过政策限制的容器。 Anthos on VMware 不使用 ImagePolicyWebhook,因此不受 CVE-2023-2727 的影响。 所有版本的 Anthos on VMware 都可能易受 CVE-2023-2728 的影响。 该怎么做?2023 年 8 月 11 日更新:以下版本的 GKE on VMware 已更新,包含用于修复此漏洞的代码。将管理员集群和用户集群升级到以下 GKE on VMware 版本之一:
解决了哪些漏洞?在 CVE-2023-2727 中,在使用临时容器时,用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时,Kubernetes 集群才会受到影响。还可以使用验证 webhook(例如 Gatekeeper 和 Kyverno)来强制执行相同的限制,以缓解此 CVE。 在 CVE-2023-2728 中,在使用临时容器时,用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下,集群会受到此漏洞的影响:
|
中 |
GKE on AWS
更新日期:2023-08-11
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了两个新的安全问题:使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时,用户可能能够启动绕过政策限制的容器。 该怎么做?2023 年 8 月 11 日更新:以下 GKE on AWS 版本已更新,包含修复此漏洞的代码。将节点升级到以下 GKE on AWS 版本:
解决了哪些漏洞?在 CVE-2023-2727 中,在使用临时容器时,用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时,Kubernetes 集群才会受到影响。还可以使用验证 webhook(例如 Gatekeeper 和 Kyverno)来强制执行相同的限制,以缓解此 CVE。 在 CVE-2023-2728 中,在使用临时容器时,用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下,集群会受到此漏洞的影响:
|
中 |
GKE on Azure
更新日期:2023-08-11
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了两个新的安全问题:使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时,用户可能能够启动绕过政策限制的容器。 该怎么做?2023 年 8 月 11 日更新:以下 GKE on Azure 版本已更新,包含修复此漏洞的代码。将集群升级到以下 GKE on Azure 版本:
解决了哪些漏洞?在 CVE-2023-2727 中,在使用临时容器时,用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时,Kubernetes 集群才会受到影响。还可以使用验证 webhook(例如 Gatekeeper 和 Kyverno)来强制执行相同的限制,以缓解此 CVE。 在 CVE-2023-2728 中,在使用临时容器时,用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下,集群会受到此漏洞的影响:
|
中 |
GKE on Bare Metal
更新日期:2023-08-11
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了两个新的安全问题:使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时,用户可能能够启动绕过政策限制的容器。 该怎么做?2023 年 8 月 11 日更新:为了修复此漏洞,我们已对以下版本的 Google Distributed Cloud Virtual for Bare Metal 进行了代码更新。将节点升级到以下 Google Distributed Cloud Virtual for Bare Metal 版本之一:
解决了哪些漏洞?在 CVE-2023-2727 中,在使用临时容器时,用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时,Kubernetes 集群才会受到影响。还可以使用验证 webhook(例如 Gatekeeper 和 Kyverno)来强制执行相同的限制,以缓解此 CVE。 在 CVE-2023-2728 中,在使用临时容器时,用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下,集群会受到此漏洞的影响:
|
中 |
GCP-2023-009
发布日期:2023-06-06
参考编号:CVE-2023-2878
GKE
| 说明 | 严重程度 |
|---|---|
|
在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878),有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。 GKE 不受此 CVE 的影响。 该怎么做?虽然 GKE 不受影响,但如果您安装了 secrets-store-csi-driver 组件,应使用补丁版本更新安装。 该补丁解决了哪些漏洞?在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878,有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时,系统才会记录令牌。 |
无 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878),有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。 GKE on VMware 不受此 CVE 的影响。 该怎么做?虽然 GKE on VMware 不受影响,但如果您安装了 secrets-store-csi-driver 组件,应使用补丁版本更新安装。 该补丁解决了哪些漏洞?在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878,有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时,系统才会记录令牌。 |
无 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878),有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。 GKE on AWS 不受此 CVE 的影响。 该怎么做?虽然 GKE on AWS 不受影响,但如果您安装了 secrets-store-csi-driver 组件,应使用补丁版本更新安装。 该补丁解决了哪些漏洞?在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878,有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时,系统才会记录令牌。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878),有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。 GKE on Azure 不受此 CVE 的影响 该怎么做?虽然 GKE on Azure 不受影响,但如果您安装了 secrets-store-csi-driver 组件,应使用补丁版本更新安装。 该补丁解决了哪些漏洞?在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878,有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时,系统才会记录令牌。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878),有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。 GKE on Bare Metal 不受此 CVE 的影响。 该怎么做?虽然 GKE on Bare Metal 不受影响,但如果您安装了 secrets-store-csi-driver 组件,应使用补丁版本更新安装。 该补丁解决了哪些漏洞?在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878,有权访问驱动程序日志的行为体可以看到服务账号令牌。然后,这些令牌可能用于与外部云服务商交换,以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时,系统才会记录令牌。 |
无 |
GCP-2023-008
发布日期:2023-06-05
参考编号:CVE-2023-1872
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872),此漏洞可能会导致节点上的权限提升为 root。GKE Standard 和 Autopilot 集群会受到影响。 使用 GKE Sandbox 的集群不受影响。 该怎么做?以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞,攻击者利用此漏洞可以实现本地权限提升。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872),此漏洞可能会导致节点上的权限提升为 root。 该怎么做?该补丁解决了哪些漏洞?CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞,攻击者利用此漏洞可以实现本地权限提升。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872),此漏洞可能会导致节点上的权限提升为 root。 该怎么做?为了修复这些漏洞,我们已对以下版本的 GKE on AWS 进行了代码更新: 该补丁解决了哪些漏洞?CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞,攻击者利用此漏洞可以实现本地权限提升。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872),此漏洞可能会导致节点上的权限提升为 root。 该怎么做?为了修复这些漏洞,我们已对以下版本的 GKE on Azure 进行了代码更新: 该补丁解决了哪些漏洞?CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞,攻击者利用此漏洞可以实现本地权限提升。 |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872),此漏洞可能会导致节点上的权限提升为 root。 GKE on Bare Metal 不受此 CVE 的影响。 该怎么做?您无需执行任何操作。 |
无 |
GCP-2023-005
发布日期:2023-05-18
更新日期:2023-06-06
参考编号:CVE-2023-1281、CVE-2023-1829
2023-06-06 更新:新的 GKE 版本已更新,包含修复 CVE-2023-1281 和 CVE-2023-1829 的最新 Ubuntu 版本。
GKE
更新日期:2023-06-06
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞(CVE-2023-1281、CVE-2023-1829),这些漏洞可能会导致节点上的权限提升为 root。GKE Standard 集群会受到影响。 GKE Autopilot 集群和使用 GKE Sandbox 的集群不受影响。 该怎么做?2023-06-06 更新:Ubuntu 补丁版本已发布。 以下 GKE 版本已更新,包含修复 CVE-2023-1281 和 CVE-2023-1829 的最新 Ubuntu 版本:
以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞,攻击者可以利用这些漏洞实现本地权限提升。 在 CVE-2023-1829 中,在某些情况下,tcindex_delete 函数不能正确停用过滤器,这可能会导致双重释放数据结构。 在 CVE-2023-1281 中,不完整的哈希区域可以在数据包传输时更新,当使用已销毁的 tcf_ext 调用 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞(CVE-2023-1281、CVE-2023-1829),这些漏洞可能会导致节点上的权限提升为 root。 该怎么做?该补丁解决了哪些漏洞?CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞,攻击者可以利用这些漏洞实现本地权限提升。 在 CVE-2023-1829 中,在某些情况下,tcindex_delete 函数不能正确停用过滤器,这可能会导致双重释放数据结构。 在 CVE-2023-1281 中,不完整的哈希区域可以在数据包传输时更新,当使用已销毁的 tcf_ext 调用 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞(CVE-2023-1281、CVE-2023-1829),这些漏洞可能会导致节点上的权限提升为 root。 该怎么做?该补丁解决了哪些漏洞?CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞,攻击者可以利用这些漏洞实现本地权限提升。 在 CVE-2023-1829 中,在某些情况下,tcindex_delete 函数不能正确停用过滤器,这可能会导致双重释放数据结构。 在 CVE-2023-1281 中,不完整的哈希区域可以在数据包传输时更新,当使用已销毁的 tcf_ext 调用 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞(CVE-2023-1281、CVE-2023-1829),这些漏洞可能会导致节点上的权限提升为 root。 该怎么做?该补丁解决了哪些漏洞?CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞,攻击者可以利用这些漏洞实现本地权限提升。 在 CVE-2023-1829 中,在某些情况下,tcindex_delete 函数不能正确停用过滤器,这可能会导致双重释放数据结构。 在 CVE-2023-1281 中,不完整的哈希区域可以在数据包传输时更新,当使用已销毁的 tcf_ext 调用 |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞(CVE-2023-1281、CVE-2023-1829),这些漏洞可能会导致节点上的权限提升为 root。 GKE on Bare Metal 不受此 CVE 的影响。 该怎么做?您无需执行任何操作。 |
无 |
GCP-2023-003
发布日期:2023-04-11
更新日期:2023-12-21
参考编号:CVE-2023-0240、CVE-2023-23586
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
GKE
更新日期:2023-12-21
| 说明 | 严重程度 |
|---|---|
|
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586,无特权的用户可以利用这些漏洞来提升权限。COS 使用 5.10.162 之前的 Linux 内核 5.10 版本的 GKE 集群(包括 Autopilot 集群)会受到影响。使用 Ubuntu 映像或使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?为了修复这些漏洞,我们已对以下 GKE 版本进行了代码更新。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?漏洞 1 (CVE-2023-0240): 漏洞 2 (CVE-2023-23586): |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586,无特权的用户可以利用这些漏洞来提升权限。COS 使用 5.10.162 之前的 Linux 内核 5.10 版本的 VMware 集群上的 GKE 会受到影响。使用 Ubuntu 映像的 GKE Enterprise 集群不受影响。 该怎么做?为了修复这些漏洞,我们已对以下版本的 GKE on VMware 进行了代码更新:
该补丁解决了哪些漏洞?漏洞 1 (CVE-2023-0240): 漏洞 2 (CVE-2023-23586): |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586,无特权的用户可以利用这些漏洞来提升权限。GKE on AWS 不受这些 CVE 的影响 该怎么做?您无需执行任何操作。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586,无特权的用户可以利用这些漏洞来提升权限。GKE on Azure 不受这些 CVE 的影响 该怎么做?您无需执行任何操作。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586,无特权的用户可以利用这些漏洞来提升权限。GKE on Bare Metal 不受这些 CVE 的影响。 该怎么做?您无需执行任何操作。 |
无 |
GCP-2023-001
发布日期:2023-03-01
更新日期:2023-12-21
参考编号:CVE-2022-4696
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
GKE
| 说明 | 严重程度 |
|---|---|
|
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696),此漏洞可能会导致节点上的权限提升。GKE 集群(包括 Autopilot 集群)会受到影响。使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?CVE-2022-4696 是在 Linux 内核中的 io_uring 和 ioring_op_splice 中发现的 use-after-free 漏洞。本地用户可利用此漏洞创建本地权限提升。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696),此漏洞可能会导致节点上的权限提升。运行 v1.12 和 v1.13 的 GKE on VMware 会受到影响。运行 v1.14 或更高版本的 GKE on VMware 不受影响。 该怎么做?为了修复此漏洞,我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一:
该补丁解决了哪些漏洞?CVE-2022-4696 是在 Linux 内核中的 io_uring 和 ioring_op_splice 中发现的 use-after-free 漏洞。本地用户可利用此漏洞创建本地权限提升。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696),此漏洞可能会导致节点上的权限提升。GKE on AWS 不受此漏洞的影响。 该怎么做?您无需采取任何行动。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696),此漏洞可能会导致节点上的权限提升。GKE on Azure 不受此漏洞的影响。 该怎么做?您无需采取任何行动。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696),此漏洞可能会导致节点上的权限提升。GKE on Bare Metal 不受此漏洞的影响。 该怎么做?您无需采取任何行动。 |
无 |
GCP-2022-026
发布日期:2023-01-11
参考文档:CVE-2022-3786、CVE-2022-3602
GKE
| 说明 | 严重程度 |
|---|---|
|
在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞(CVE-2022-3786 和 CVE-2022-3602)。虽然这在 NVD 数据库中被评为高,但 GKE 端点使用 boringSSL 或不受影响的旧版 OpenSSL,因此 GKE 的评级已降至中等。 该怎么做?以下版本的 GKE 已进行了代码更新,修复了此漏洞:
借助发布渠道的最新功能,您可以应用补丁,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?对于 CVE-2022-3786 和 CVE-2022-3602,X.509 证书验证可能会触发缓冲区溢出,从而导致崩溃,并进一步导致拒绝服务。为了利用此漏洞,此漏洞需要 CA 签署恶意证书或让应用继续执行证书验证,即使未能构建通向受信任颁发者的路径也是如此。 |
中 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞(CVE-2022-3786 和 CVE-2022-3602)。 该怎么做?GKE on VMware 不受此 CVE 的影响,因为它不使用受影响的 OpenSSL 版本。 该补丁解决了哪些漏洞?您无需执行任何操作。 |
无 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞(CVE-2022-3786 和 CVE-2022-3602)。 该怎么做?GKE on AWS 不受此 CVE 的影响,因为它不使用受影响的 OpenSSL 版本。 该补丁解决了哪些漏洞?您无需执行任何操作。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞(CVE-2022-3786 和 CVE-2022-3602)。 该怎么做?GKE on Azure 不受此 CVE 的影响,因为它不使用受影响的 OpenSSL 版本。 该补丁解决了哪些漏洞?您无需执行任何操作。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞(CVE-2022-3786 和 CVE-2022-3602)。 该怎么做?GKE on Bare Metal 不受此 CVE 的影响,因为它不使用受影响的 OpenSSL 版本。 该补丁解决了哪些漏洞?您无需执行任何操作。 |
无 |
GCP-2022-025
发布日期:2022-12-21
更新日期:2023-01-19、2023-12-21
参考编号:CVE-2022-2602
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
2023 年 1 月 19 日更新:GKE 1.21.14-gke.14100 版已发布。
GKE
更新日期:2023-01-19
| 说明 | 严重程度 |
|---|---|
|
2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602),该漏洞可能会允许攻击者执行任意代码。GKE 集群(包括 Autopilot 集群)会受到影响。 使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?2023 年 1 月 19 日更新:1.21.14-gke.14100 版已发布。将节点池升级到此版本或更高版本。 以下版本的 GKE 已更新代码以在即将发布的版本中修复此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?使用 CVE-2022-2602 时,io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602),该漏洞可能会允许攻击者执行任意代码。 GKE on VMware 1.11、1.12 和 1.13 版会受到影响。 该怎么做?将集群升级到修补后的版本。以下版本的 GKE on VMware 包含用于修复此漏洞的代码:
该补丁解决了哪些漏洞?使用 CVE-2022-2602 时,io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602),该漏洞可能会允许攻击者执行任意代码。 该怎么做?以下当前一代和上一代版本的 GKE on AWS 已更新,包含用于修复此漏洞的代码。我们建议您将节点升级到以下 GKE on AWS 版本之一:
该补丁解决了哪些漏洞?使用 CVE-2022-2602 时,io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602),该漏洞可能会允许攻击者执行任意代码。 该怎么做?以下版本的 GKE on Azure 已更新,包含用于修复此漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一:
该补丁解决了哪些漏洞?使用 CVE-2022-2602 时,io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。 |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602),该漏洞可能会允许攻击者执行任意代码。 GKE on Bare Metal 不受此 CVE 的影响,因为它未在其发行版中捆绑操作系统。 该怎么做?您无需执行任何操作。 |
无 |
GCP-2022-024
发布日期:2022-11-09
更新日期:2023-01-19
参考编号:CVE-2022-2585、CVE-2022-2588
2023 年 1 月 19 日更新:GKE 1.21.14-gke.14100 版已发布。
2022 年 12 月 16 日更新:新增了适用于 GKE 和 GKE on VMware 的修订补丁版本。
GKE
更新日期:2023-01-19
| 说明 | 严重程度 |
|---|---|
|
Linux 内核中发现了两个新漏洞(CVE-2022-2585 和 CVE-2022-2588),这些漏洞可能会导致容器被完全破解到节点上。GKE 集群(包括 Autopilot 集群)会受到影响。 使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?2023 年 1 月 19 日更新:1.21.14-gke.14100 版已发布。将节点池升级到此版本或更高版本。 2022 年 12 月 16 日更新:因版本后退而对先前版本的公告进行了修订。请将节点池手动升级到以下 GKE 版本之一:
以下版本的 GKE 已进行了代码更新,修复了此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将节点池手动升级到以下 GKE 版本之一:
我们很快就会提供适用于 GKE 1.22、1.23 和 1.25 的更新。推出以后,此安全公告会更新。 借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?
|
高 |
GKE on VMware
更新日期:2022 年 12 月 16 日
| 说明 | 严重程度 |
|---|---|
|
Linux 内核中发现了两个新漏洞(CVE-2022-2585 和 CVE-2022-2588),这些漏洞可能会导致容器被完全破解到节点上。 GKE on VMware 版本 1.13、1.12 和 1.11 会受到影响。 该怎么做?2022 年 12 月 16 日更新:以下版本的 GKE on VMware 已更新,包含用于修复此漏洞的代码。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一:
该补丁解决了哪些漏洞?
|
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
Linux 内核中发现了两个新漏洞(CVE-2022-2585 和 CVE-2022-2588),这些漏洞可能会导致容器被完全破解到节点上。 以下版本的 Kubernetes on AWS 可能会受到影响:
Kubernetes V1.24 不受影响。 该怎么做?我们建议您将集群升级到以下 AWS Kubernetes 版本之一:
解决了哪些漏洞?对于 CVE-2022-2585,posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞,具体取决于定时器的创建和删除方式。 对于 CVE-2022-2588,Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃,并可能导致本地权限提升。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
Linux 内核中发现了两个新漏洞(CVE-2022-2585 和 CVE-2022-2588),这些漏洞可能会导致容器被完全破解到节点上。 以下版本的 Kubernetes on Azure 可能会受到影响:
Kubernetes V1.24 不受影响。 该怎么做?我们建议您将集群升级到以下 Azure Kubernetes 版本之一:
解决了哪些漏洞?对于 CVE-2022-2585,posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞,具体取决于定时器的创建和删除方式。 对于 CVE-2022-2588,Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃,并可能导致本地权限提升。 |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
Linux 内核中发现了两个新漏洞(CVE-2022-2585 和 CVE-2022-2588),这些漏洞可能会导致容器被完全破解到节点上。 GKE on Bare Metal 不受此 CVE 的影响,因为它未在其发行版中捆绑操作系统。 该怎么做?您无需执行任何操作。 |
无 |
GCP-2022-023
发布日期:2022-11-04
参考编号:CVE-2022-39278
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Cloud Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278,它允许恶意攻击者使控制平面崩溃。 该怎么做?Google Kubernetes Engine (GKE) 不随 Istio 一起提供,也不受此漏洞的影响。但是,如果您已在 GKE 集群上单独安装 Cloud Service Mesh 或 Istio,请参阅 GCP-2022-020(有关此 CVE 的 Cloud Service Mesh 安全公告)了解详情。 |
无 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 GKE on VMware 的 Cloud Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278,它允许恶意攻击者使 Istio 控制平面崩溃。 该怎么做?为了修复此漏洞,我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一:
该补丁解决了哪些漏洞?
由于存在 CVE-2022-39278 漏洞,Istio 控制平面 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Cloud Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278,它允许恶意攻击者使控制平面崩溃。 该怎么做?GKE on AWS 不受此漏洞的影响,您无需执行任何操作。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Cloud Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278,它允许恶意攻击者使控制平面崩溃。 该怎么做?GKE on Azure 不受此漏洞的影响,您无需执行任何操作。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 GKE on Bare Metal 的 Cloud Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278,它允许恶意攻击者使 Istio 控制平面崩溃。 该怎么做?为了修复此漏洞,我们已对以下版本的 GKE on Bare Metal 进行了代码更新。我们建议您将集群升级到以下 GKE on Bare Metal 版本之一:
该补丁解决了哪些漏洞?
由于存在 CVE-2022-39278 漏洞,Istio 控制平面 |
高 |
GCP-2022-022-updated
发布日期:2022-12-08
参考编号:CVE-2022-20409
GKE
更新日期:2022-12-14
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409),该漏洞可能会导致本地权限提升。使用 Container-Optimized OS 93 和 97 版本的 Google Kubernetes Engine (GKE) v1.22、v1.23 和 v1.24 集群(包括 Autopilot 集群)会受到影响。其他受支持的 GKE 版本不受影响。使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?2022 年 12 月 14 日更新:因版本后退而对先前版本的公告进行了修订。请将节点池手动升级到以下 GKE 版本之一:
使用 Container-Optimized OS 版本 93 和 97 的以下 GKE 版本已更新代码以在即将发布的版本中修复此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将节点池手动升级到以下 GKE 版本之一:
发布渠道的最新功能可让您应用补丁,而无需退订渠道。此功能允许您保护节点,直到新版本成为您的发布专用渠道的默认版本。 该补丁解决了哪些漏洞?由于 CVE-2022-20409,Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞,可能会发生内存损坏。本地攻击者可能会利用此内存损坏来拒绝服务(系统崩溃),或者可能执行任意代码。 |
高 |
GKE on VMware
更新日期:2022-12-14
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409),该漏洞可能会导致本地权限提升。 该怎么做?2022 年 12 月 14 日更新:以下版本的 GKE on VMware for Ubuntu 已更新,内含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on VMware 版本之一:
该补丁解决了哪些漏洞?由于 CVE-2022-20409,Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞,可能会发生内存损坏。本地攻击者可能会利用此内存损坏来拒绝服务(系统崩溃)或执行任意代码。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 CVE-2022-20409,该漏洞可能会允许无特权的用户提升到拥有系统执行特权。 该怎么做?您无需采取任何行动。GKE on AWS 不使用受影响的 Linux 内核版本。 该补丁解决了哪些漏洞?由于 CVE-2022-20409,Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞,可能会发生内存损坏。本地攻击者可能会利用此内存损坏来拒绝服务(系统崩溃)或执行任意代码。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了一个新漏洞 CVE-2022-20409,该漏洞可能会允许无特权的用户提升到拥有系统执行特权。 该怎么做?您无需采取任何行动。GKE on Azure 不使用受影响的 Linux 内核版本。 该补丁解决了哪些漏洞?由于 CVE-2022-20409,Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞,可能会发生内存损坏。本地攻击者可能会利用此内存损坏来拒绝服务(系统崩溃)或执行任意代码。 |
无 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409),该漏洞可能会导致本地权限提升。 该怎么做?
|
无 |
GCP-2022-021
发布日期:2022-10-27
更新日期:2023-01-19、2023-12-21
参考编号:CVE-2022-3176
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
2023 年 1 月 19 日更新:GKE 1.21.14-gke.14100 版已发布。
2022 年 12 月 15 日更新:更新了关于 Google Kubernetes Engine 1.21.14-gke.9400 版正在等待发布并可能会被更高的版本号取代的信息。
2022 年 11 月 21 日更新:添加了 GKE on VMware、GKE on AWS 和 GKE on Azure 的补丁版本。
GKE
更新日期:2023-01-19、2023-12-21
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 使用 Container-Optimized OS 89 版本的 Google Kubernetes Engine (GKE) v1.21 集群(包括 Autopilot 集群)会受到影响。较高版本的 GKE 不受影响。所有使用 Ubuntu 的 Linux 集群都会受到影响。使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?2023 年 1 月 19 日更新:1.21.14-gke.14100 版已发布。将节点池升级到此版本或更高版本。 2022 年 12 月 15 日更新:1.21.14-gke.9400 版正在等待发布,并可能被更高的版本号取代。当所述新版本可用时,我们将更新此文档。 以下版本的 GKE 已更新代码以在即将发布的版本中修复此漏洞。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将节点池手动升级到以下 GKE 版本之一:
发布渠道的最新功能可让您应用补丁,而无需退订渠道。此功能允许您保护节点,直到新版本成为您的发布专用渠道的默认版本。 该补丁解决了哪些漏洞?由于 CVE-2022-3176,Linux 内核在 io_uring 子系统中有一个漏洞。 缺少 POLLFREE 处理可能会导致 Use-After-Free (UAF) 漏洞被用于提升权限。 |
高 |
GKE on VMware
更新日期:2022-11-21
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 该怎么做?
2022 年 11 月 21 日更新:以下版本的 GKE on VMware for Ubuntu 已更新,内含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on VMware 版本之一:
包含 Ubuntu 补丁的 GKE on VMware 版本即将推出。当 GKE on VMware 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?由于 CVE-2022-3176,Linux 内核在 io_uring 子系统中有一个漏洞。 缺少 POLLFREE 处理可能会导致 Use-After-Free (UAF) 漏洞被用于提升权限。 |
高 |
GKE on AWS
更新日期:2022-11-21
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 该怎么做?2022 年 11 月 21 日更新:GKE on AWS 的以下当前和先前世代版本已更新,包含可以修复此漏洞的代码。我们建议您将节点升级到以下 GKE on AWS 版本之一: 当前版本
包含 Ubuntu 补丁的 GKE on AWS 版本即将推出。当 GKE on AWS 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?由于 CVE-2022-3176,Linux 内核在 io_uring 子系统中有一个漏洞。 缺少 POLLFREE 处理可能会导致 Use-After-Free (UAF) 漏洞被用于提升权限。 |
高 |
GKE on Azure
更新日期:2022-11-21
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 该怎么做?2022 年 11 月 21 日更新:以下 GKE on Azure 版本已更新,包含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一:
包含 Ubuntu 补丁的 GKE on Azure 版本即将推出。当 GKE on Azure 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?由于 CVE-2022-3176,Linux 内核在 io_uring 子系统中有一个漏洞。 缺少 POLLFREE 处理可能会导致 Use-After-Free (UAF) 漏洞被用于提升权限。 |
高 |
GKE on Bare Metal
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 该怎么做?您无需执行任何操作,GKE on Bare Metal 不受此 CVE 的影响,因为它未在发行版中捆绑操作系统。 |
无 |
GCP-2022-018
发布日期:2022-08-01
更新日期:2022-09-14、2023-12-21
参考编号:CVE-2022-2327
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。
2022 年 9 月 14 日更新:添加了 GKE on VMware、GKE on AWS 和 GKE on Azure 的补丁版本。
GKE
更新日期:2023-12-21
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327),该漏洞可能会导致本地权限升级。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 技术详情2023 年 12 月 21 日更新:原始公告中指出 Autopilot 集群受到影响,但事实并非如此。默认配置中的 GKE Autopilot 集群不受影响,但如果您明确设置 seccomp 不受限制的配置文件或允许 使用 Linux 内核版本 5.10 且具有 Container-Optimized OS (COS) 的 GKE 集群(包括 Autopilot 集群)会受到影响。使用 Ubuntu 映像或使用 GKE Sandbox 的 GKE 集群不受影响。 该怎么做?将 GKE 集群升级到包含该修复的版本。
COS 的 Linux 节点映像以及使用这些 COS 版本的 GKE 版本已更新。
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。 这样,在修补后的版本成为您的所选发布渠道中的默认版本之前,您就可以将节点升级到该版本。 该补丁解决了哪些漏洞?由于 CVE-2022-2327,5.10 版中的 Linux 内核在 io_uring 子系统中存在一个漏洞,其中各种请求都缺少项类型(标志)。 如果没有指定适当的项类型,使用这些请求可能会导致权限提升到 root 权限。 |
高 |
GKE on VMware
更新日期:2022 年 9 月 14 日
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 使用 GKE on VMware 版本 1.10、1.11 和 1.12 且具有 Container Optimized OS (COS) 映像的集群会受到影响。 该怎么做?2022 年 9 月 14 日更新:以下版本的 GKE on VMware 包含用于修复此漏洞的代码。
包含补丁的 GKE on GKE 版本很快就会发布。当 GKE on VMware 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?由于 CVE-2022-2327,5.10 版中的 Linux 内核在 io_uring 子系统中存在一个漏洞,其中各种请求都缺少项类型(标志)。如果没有指定适当的项类型,使用这些请求可能会导致权限提升到 root 权限。 |
高 |
GKE on AWS
更新日期:2022 年 9 月 14 日
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 该怎么做?2022 年 9 月 14 日更新:GKE on AWS 的以下当前和先前世代版本已更新,包含可以修复此漏洞的代码。我们建议您将节点升级到以下 GKE on AWS 版本之一: 当前世代
先前世代
包含补丁的 GKE on AWS 版本很快就会发布。当 GKE on AWS 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?由于 CVE-2022-2327,5.10 版中的 Linux 内核在 io_uring 子系统中存在一个漏洞,其中各种请求都缺少项类型(标志)。如果没有指定适当的项类型,使用这些请求可能会导致权限提升到 root 权限。 |
高 |
GKE on Azure
更新日期:2022 年 9 月 14 日
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 该怎么做?2022 年 9 月 14 日更新:以下 GKE on Azure 版本已更新,包含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一:
包含补丁的 GKE on Azure 版本很快就会发布。 当 GKE on Azure 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?由于 CVE-2022-2327,5.10 版中的 Linux 内核在 io_uring 子系统中存在一个漏洞,其中各种请求都缺少项类型(标志)。如果没有指定适当的项类型,使用这些请求可能会导致权限提升到 root 权限。 |
高 |
Google Distributed Cloud Virtual for Bare Metal
| 说明 | 严重程度 |
|---|---|
|
我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 该怎么做?您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2022-017
发布日期:2022-06-29
更新日期:2022-11-22
参考编号:CVE-2022-1786
2022 年 11 月 22 日更新:更新了使用 GKE Sandbox 的工作负载的信息。
2022 年 7 月 21 日更新:更新了关于 GKE on VMware COS 映像受影响的相关信息。
GKE
更新日期:2022-11-22
| 说明 | 严重程度 |
|---|---|
|
2022 年 11 月 22 日更新:使用 GKE Sandbox 的工作负载不受这些漏洞的影响。 在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。只有运行 Container-Optimized OS 的集群会受到影响。GKE Ubuntu 版本使用内核版本 5.4 或 5.15,并且不受影响。 该怎么做?以下 GKE 版本的 Container-Optimized OS 的 Linux 节点映像版本已更新,内含修复此漏洞的代码。出于安全考虑,即使您启用了节点自动升级,我们也建议您将节点池手动升级到以下即将推出的 GKE 版本之一:
发布渠道的一项最新功能允许您无需退订渠道即可应用补丁。这样,在修补后的版本成为您的所选发布渠道中的默认版本之前,您就可以将节点升级到该版本。 该补丁解决了哪些漏洞?CVE-2022-1786 导致 Linux 内核的 io_uring 子系统中出现了一个释放后重用 (use-after-free) 缺陷。如果用户使用 IORING_SETUP_IOPOLL 设置一个环,其中有多个任务在环上完成了提交,则本地用户可能破坏或提升其在系统上的权限。 |
高 |
GKE on VMware
更新日期:2022 年 7 月 14 日
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。 该怎么做?2022 年 7 月 21 日更新:以下版本的 GKE on VMware 包含用于修复此漏洞的代码。 COS
Ubuntu您无需执行任何操作。GKE on VMware 不使用受影响的 Linux 内核版本。 |
无 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。 该怎么做?您无需执行任何操作。GKE on AWS 不使用受影响的 Linux 内核版本。 |
无 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。 该怎么做?您无需执行任何操作。GKE on Azure 不使用受影响的 Linux 内核版本。 |
无 |
Google Distributed Cloud Virtual for Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。 该怎么做?您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2022-016
发布日期:2022-06-23
更新日期:2022-11-22
参考编号:CVE-2022-29581、CVE-2022-29582、CVE-2022-1116
2022 年 11 月 22 日更新:添加了有关在 Autopilot 集群中运行的工作负载的信息。
2022 年 7 月 29 日更新:更新了 GKE on VMware、GKE on AWS 和 GKE on Azure 的版本。
GKE
更新日期:2022-11-22
| 说明 | 严重程度 |
|---|---|
|
2022 年 11 月 22 日更新:Autopilot 集群不受 CVE-2022-29581 影响,但容易受到 CVE-2022-29582 和 CVE-2022-1116 的影响。 2022-07-29 更新:使用 GKE Sandbox 的 Pod 不会受到这些漏洞的影响。 在 Linux 内核中发现了三个新的内存损坏漏洞(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。所有 Linux 集群(Container-Optimized OS 和 Ubuntu)都会受到影响。 该怎么做?以下 GKE 版本的 Container-Optimized OS 和 Ubuntu 的 Linux 节点映像版本已更新,内含修复此漏洞的代码。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,在修补后的版本成为您的所选发布渠道中的默认版本之前,您就可以将节点升级到该版本。 该补丁解决了哪些漏洞?CVE-2022-29582 导致低于 5.17.3 版的 Linux 内核由于 io_uring 超时中的竞态条件而出现释放后重用 (use-after-free) 漏洞。 CVE-2022-29581 和 CVE-2022-1116 漏洞允许本地攻击者触发 io_uring 中的内存损坏或 Linux 内核中的 net/sched,从而将权限提升为 root 权限。 |
高 |
GKE on VMware
更新时间:2022-07-29
| 说明 | 严重程度 |
|---|---|
|
2022 年 7 月 29 日更新:以下版本的 GKE on VMware 包含用于修复这些漏洞的代码。
在 Linux 内核中发现了三个新的内存损坏漏洞(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。这些漏洞会影响使用 Container-Optimized OS 和 Ubuntu 映像的 GKE on VMware v1.9 及更高版本。 该怎么做?包含补丁的 GKE on VMware 版本很快就会发布。当 GKE on VMware 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?CVE-2022-29582 导致低于 5.17.3 版的 Linux 内核由于 io_uring 超时中的竞态条件而出现释放后重用 (use-after-free) 漏洞。 CVE-2022-29581 和 CVE-2022-1116 漏洞允许本地攻击者触发 io_uring 中的内存损坏或 Linux 内核中的 net/sched,从而将权限提升为 root 权限。 |
高 |
GKE on AWS
更新时间:2022-07-29
| 说明 | 严重程度 |
|---|---|
|
2022-07-29 更新:更新:GKE on AWS 的以下和上一代版本已更新,包含可以修复这些漏洞的代码。我们建议您将节点升级到以下 GKE on AWS 版本之一: 当前世代:
在 Linux 内核中发现了三个新的内存损坏漏洞(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。这些漏洞会影响所有版本的 GKE on AWS。 该怎么做?包含补丁的 GKE on AWS 版本很快就会发布。 当 GKE on AWS 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?CVE-2022-29582 导致低于 5.17.3 版的 Linux 内核由于 io_uring 超时中的竞态条件而出现释放后重用 (use-after-free) 漏洞。 CVE-2022-29581 和 CVE-2022-1116 漏洞允许本地攻击者触发 io_uring 中的内存损坏或 Linux 内核中的 net/sched,从而将权限提升为 root 权限。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
2022-07-29 更新:更新:以下版本的 GKE on Azure 已进行更新,包含可以修复这些漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一:
在 Linux 内核中发现了三个新的内存损坏漏洞(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。这些漏洞会影响所有版本的 GKE on Azure。 该怎么做?包含补丁的 GKE on Azure 版本很快就会发布。当 GKE on Azure 版本可供下载时,我们将更新本安全公告。 该补丁解决了哪些漏洞?CVE-2022-29582 导致低于 5.17.3 版的 Linux 内核由于 io_uring 超时中的竞态条件而出现释放后重用 (use-after-free) 漏洞。 CVE-2022-29581 和 CVE-2022-1116 漏洞允许本地攻击者触发 io_uring 中的内存损坏或 Linux 内核中的 net/sched,从而将权限提升为 root 权限。 |
高 |
Google Distributed Cloud Virtual for Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了三个新的内存损坏漏洞(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。 该怎么做?您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此漏洞的影响,因为它未在其发行版中捆绑操作系统。 |
无 |
GCP-2022-014
发布日期:2022-04-26
更新日期:2022-11-22
2022 年 11 月 22 日更新:添加了有关在 Autopilot 集群中运行的工作负载的信息。
2022 年 5 月 12 日更新:更新了 GKE on AWS 和 GKE on Azure 的补丁版本。
参考编号:CVE-2022-1055、CVE-2022-27666
GKE
更新日期:2022-11-22
| 说明 | 严重程度 |
|---|---|
2022 年 11 月 22 日更新:在 GKE Sandbox 中运行的 GKE Autopilot 集群和工作负载不受这些漏洞的影响。 在 Linux 内核中发现了两个安全漏洞:CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或提权。这些漏洞会影响所有 GKE 节点操作系统(Container-Optimized OS 和 Ubuntu)。 技术详情在 CVE-2022-1055 中,攻击者可以利用 tc_new_tfilter() 中的 use-after-free,从而允许容器中的本地攻击者将权限提升到节点上的 root。 在 CVE-2022-27666 中,esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。 该怎么做?以下版本的 GKE 的 Linux 节点映像版本已更新,内含修复此漏洞的代码。将集群升级到以下即将推出的 GKE 版本之一:
该补丁解决了哪些漏洞? |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个安全漏洞:CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或提权。这些漏洞会影响所有 GKE 节点操作系统(Container-Optimized OS 和 Ubuntu)。 技术详情在 CVE-2022-1055 中,攻击者可以利用 tc_new_tfilter() 中的 use-after-free,从而允许容器中的本地攻击者将权限提升到节点上的 root。 在 CVE-2022-27666 中,esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。 该怎么做?将集群升级到修补后的版本。以下 GKE on VMware 版本或更高版本包含针对此漏洞的修补程序:
该补丁解决了哪些漏洞? |
高 |
GKE on AWS
更新日期:2022 年 5 月 12 日
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个安全漏洞:CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或提权。这些漏洞会影响所有 GKE 节点操作系统(Container-Optimized OS 和 Ubuntu)。 技术详情在 CVE-2022-1055 中,攻击者可以利用 tc_new_tfilter() 中的 use-after-free,从而允许容器中的本地攻击者将权限提升到节点上的 root。 在 CVE-2022-27666 中,esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。 该怎么做?2022 年 5 月 12 日更新:以下当前和先前版本的 GKE on AWS 已更新代码来修复这些漏洞。我们建议您将节点升级到以下 GKE on AWS 版本之一: 当前版本
将集群升级到修补后的版本。补丁程序将在后续版本中提供。补丁发布后,我们会更新此公告。 该补丁解决了哪些漏洞? |
高 |
GKE on Azure
更新日期:2022 年 5 月 12 日
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个安全漏洞:CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或提权。这些漏洞会影响所有 GKE 节点操作系统(Container-Optimized OS 和 Ubuntu)。 技术详情在 CVE-2022-1055 中,攻击者可以利用 tc_new_tfilter() 中的 use-after-free,从而允许容器中的本地攻击者将权限提升到节点上的 root。 在 CVE-2022-27666 中,esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。 该怎么做?2022 年 5 月 12 日更新:以下 GKE on Azure 版本已更新,包含用于修复这些漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一:
将集群升级到修补后的版本。补丁程序将在后续版本中提供。补丁发布后,我们会更新此公告。 该补丁解决了哪些漏洞? |
高 |
Google Distributed Cloud Virtual for Bare Metal
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个安全漏洞:CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或提权。这些漏洞会影响所有 GKE 节点操作系统(Container-Optimized OS 和 Ubuntu)。 技术详情在 CVE-2022-1055 中,攻击者可以利用 tc_new_tfilter() 中的 use-after-free,从而允许容器中的本地攻击者将权限提升到节点上的 root。 在 CVE-2022-27666 中,esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。 该怎么做?您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响,因为其软件包不包含 Linux。您应确保使用的节点映像已更新为包含 CVE-2022-1055 和 CVE-2022-27666 修复版本。 该补丁解决了哪些漏洞? |
高 |
GCP-2022-013
发布日期:2022 年 4 月 11 日
更新日期:2022 年 4 月 20 日
参考编号:CVE-2022-23648
2022 年 4 月 22 日更新:更新了 Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 的补丁版本。
GKE
| 说明 | 严重程度 |
|---|---|
|
在 OCI 映像卷规范中,containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器,可以获得对主机上任意文件和目录的完整读取权限。 此漏洞可能会绕过容器设置上基于政策的所有强制执行(包括 Kubernetes Pod 安全政策)。此漏洞会影响所有默认使用 containerd 的 GKE 节点操作系统(Container-Optimized OS 和 Ubuntu)。所有 GKE、Autopilot 和 GKE Sandbox 节点都会受到影响。 该怎么做?以下版本的 GKE 的 Linux 节点映像版本已更新,内含修复此漏洞的代码。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将节点手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用补丁程序,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 |
中 |
GKE on VMware
更新日期:2022-04-22
| 说明 | 严重程度 |
|---|---|
|
在 OCI 映像卷规范中,containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器,可以获得对主机上任意文件和目录的完整读取权限。 此漏洞可能会绕过容器设置上基于政策的所有强制执行(包括 Kubernetes Pod 安全政策)。此漏洞会影响所有启用了 Stackdriver 且使用 containerd 的 VMware on GKE。GKE on VMware 1.8、1.9 和 1.10 版会受到影响。 该怎么做?2022 年 4 月 22 日更新:以下版本的 GKE on VMware 包含用于修复此漏洞的代码。
为了修复此漏洞,我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将节点升级到以下 GKE on VMware 版本之一:
可以通过将 IgnoreImageDefinedVolumes 设置为 true 来消除此 CVE。 |
中 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 OCI 映像卷规范中,containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器,可以获得对主机上任意文件和目录的完整读取权限。 此漏洞可能会绕过容器设置上基于政策的所有强制执行(包括 Kubernetes Pod 安全政策)。所有 GKE on AWS 版本都会受到影响。 该怎么做?以下版本的 GKE on AWS 已进行了代码更新,以修复此漏洞。我们建议您将节点升级到以下 GKE on AWS 版本之一: GKE on AWS(当前代次)
GKE on AWS(上一代)
可以通过将 IgnoreImageDefinedVolumes 设置为 true 来消除此 CVE。 |
中 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
在 OCI 映像卷规范中,containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器,可以获得对主机上任意文件和目录的完整读取权限。 此漏洞可能会绕过容器设置上基于政策的所有强制执行(包括 Kubernetes Pod 安全政策)。所有 GKE on Azure 版本都会受到影响。 该怎么做?以下版本的 GKE on Azure 已更新,内含修复此漏洞的代码。我们建议您按如下方式升级节点:
可以通过将 IgnoreImageDefinedVolumes 设置为 true 来消除此 CVE。 |
中 |
Google Distributed Cloud Virtual for Bare Metal
更新日期:2022-04-22
| 说明 | 严重程度 |
|---|---|
|
在 OCI 映像卷规范中,containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器,可以获得对主机上任意文件和目录的完整读取权限。 此漏洞可能会绕过容器设置上基于政策的所有强制执行(包括 Kubernetes Pod 安全政策)。此漏洞会影响所有使用 containerd 的 Google Distributed Cloud Virtual for Bare Metal。Google Distributed Cloud Virtual for Bare Metal 1.8、1.9 和 1.10 版会受到影响。 该怎么做?2022 年 4 月 22 日更新:以下版本的 Google Distributed Cloud Virtual for Bare Metal 包含用于修复此漏洞的代码。
为了修复此漏洞,我们已对以下版本的 Google Distributed Cloud Virtual for Bare Metal 进行了代码更新。我们建议您将节点升级到以下 Google Distributed Cloud Virtual for Bare Metal 版本之一:
可以通过将 IgnoreImageDefinedVolumes 设置为 true 来消除此 CVE。 |
中 |
GCP-2022-012
发布日期:2022-04-07
更新日期:2022-11-22
参考编号:CVE-2022-0847
2022 年 11 月 22 日更新:更新了使用 GKE Sandbox 的工作负载的相关信息。
GKE
更新日期:2022-11-22
| 说明 | 严重程度 |
|---|---|
|
2022 年 11 月 22 日更新:使用 GKE Sandbox 的工作负载不受这些漏洞的影响。 我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847,此漏洞可能会将容器权限升级为 root。此漏洞会影响所有使用 Container-Optimized OS 映像(Container-Optimized OS 93 及更高版本)的 GKE 节点池 v1.22 及更高版本。使用 Ubuntu 操作系统的 GKE 节点池不受影响。 该怎么做?以下版本的 GKE 的 Linux 节点映像版本已更新,内含修复此漏洞的代码。出于安全考虑,即使您启用了节点自动升级,我们仍建议您将节点池手动升级到以下 GKE 版本之一:
借助发布渠道的最新功能,您可以应用其他发布渠道的补丁程序版本,而不必退订渠道。这样,您就可以保护节点,直到新版本成为特定发布渠道的默认版本。 该补丁解决了哪些漏洞?CVE-2022-0847 与 Linux 内核 5.8 版中引入的 PIPE_BUF_FLAG_CAN_MERGE 标志相关。在此漏洞中,新管道缓冲区结构的“标志”构件在 Linux 内核中缺少必要的初始化。无特权的本地攻击者可以利用此缺陷,在由只读文件支持的页面缓存中写入页面,并提升其权限。 可解决此问题的新版 Container-Optimized OS 已集成到更新后的 GKE 节点池版本中。 |
高 |
GKE on VMware
| 说明 | 严重程度 |
|---|---|
|
我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847,此漏洞可能会将权限升级为 root。此漏洞会影响使用 Container-Optimized OS 映像的 GKE on VMware v1.10。目前,使用 Ubuntu 的 GKE on VMware 依赖于内核 5.4 版,因此不受此漏洞的影响。 该怎么做?以下 GKE on VMware 版本的 Linux 节点映像版本已更新,内含修复此漏洞的代码。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本:
该补丁解决了哪些漏洞?CVE-2022-0847 与 Linux 内核 5.8 版中引入的 PIPE_BUF_FLAG_CAN_MERGE 标志相关。在此漏洞中,新管道缓冲区结构的“标志”构件在 Linux 内核中缺少必要的初始化。无特权的本地攻击者可以利用此缺陷,在由只读文件支持的页面缓存中写入页面,并提升其权限。 可解决此问题的新版 Container-Optimized OS 已集成到更新后的 GKE on VMware 版本中。 |
高 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847,此漏洞可能会将权限升级为 root。 此漏洞会影响 GKE on AWS v1.21 的托管式集群以及在 GKE on AWS(上一代)v1.19、v1.20 和 v1.21(使用 Ubuntu)上运行的集群。 该怎么做?以下版本的 GKE on AWS 的 Linux 节点映像版本已更新,内含修复此漏洞的代码。 对于托管式 GKE on AWS 集群,我们建议您将用户集群和节点池升级到以下版本之一:
对于 k-lite GKE on AWS,我们建议您将 AWSManagementService、AWSCluster 和 AWSNodePool 对象升级到以下版本:
该补丁解决了哪些漏洞?CVE-2022-0847 与 Linux 内核 5.8 版中引入的 PIPE_BUF_FLAG_CAN_MERGE 标志相关。在此漏洞中,新管道缓冲区结构的“标志”构件在 Linux 内核中缺少必要的初始化。无特权的本地攻击者可以利用此缺陷,在由只读文件支持的页面缓存中写入页面,并提升其权限。 |
高 |
GKE on Azure
| 说明 | 严重程度 |
|---|---|
|
我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847,此漏洞可能会将权限升级为 root。此漏洞会影响使用 Ubuntu 的 GKE on Azure v1.21 的托管式集群。 该怎么做?以下 GKE on Azure 版本的 Linux 节点映像版本已更新,内含修复此漏洞的代码。我们建议您将用户集群和节点池升级到以下版本:
该补丁解决了哪些漏洞?CVE-2022-0847 与 Linux 内核 5.8 版中引入的 PIPE_BUF_FLAG_CAN_MERGE 标志相关。在此漏洞中,新管道缓冲区结构的“标志”构件在 Linux 内核中缺少必要的初始化。无特权的本地攻击者可以利用此缺陷,在由只读文件支持的页面缓存中写入页面,并提升其权限。 |
高 |
Google Distributed Cloud Virtual for Bare Metal
| 说明 | 严重程度 |
|---|---|
|
我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847,此漏洞可能会将权限升级为 root。 该怎么做?您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响,因为其软件包不包含 Linux。您应确保所使用的节点映像已更新为包含 CVE-2022-0847 修复的版本。 |
高 |
GCP-2022-011
发布日期:2022 年 3 月 22 日
更新日期:2022 年 8 月 11 日
2022 年 8 月 11 日更新:增加了关于 SMT 错误配置的影响的更多详细信息。
GKE
| 说明 | 严重程度 |
|---|---|
|
2022 年 8 月 11 日更新:增加了有关并发多线程 (SMT) 配置的更多信息。在下面列出的版本中,SMT 本应停用,但却被启用。 如果您为沙盒化节点池手动启用 SMT,则尽管存在此问题,SMT 仍将保持手动启用状态。 GKE Sandbox 映像上的并发多线程 (SMT)(也称为超线程)配置错误。配置错误可能会使节点面临微通道数据抽样 (MDS) 等边信道攻击(如需更多背景信息,请参阅 GKE Sandbox 文档)。我们不建议您使用以下受影响的版本:
如果您手动为节点池启用 SMT,则此问题不会影响您的沙盒化节点。 该怎么做?将节点升级到以下版本之一:
该补丁程序解决了哪一漏洞?GKE Sandbox 节点默认停用 SMT,从而缓解边信道攻击。 |
中 |
GCP-2022-009
发布日期:2022 年 3 月 1 日
更新日期:2022 年 3 月 15 日
GKE
| 说明 | 严重程度 |
|---|---|
|
2022 年 3 月 15 日更新:添加了 GKE on AWS 和 GKE on Azure 的安全加固指南。添加了关于使用网络钩子的持久性的部分。 用于访问 GKE Autopilot 集群上的节点虚拟机的一些意外路径可能已被用来提升集群中的权限。这些问题已得到解决,无需采取进一步措施。这些修复解决了通过漏洞奖励计划报告的问题。 GKE Standard 和 GKE 集群用户可以选择性地应用类似的安全强化政策,如下所述。 技术详情使用第三方政策豁免的主机访问为了允许 Google Cloud 提供节点的完全管理权限和 Pod 级 SLA,GKE Autopilot 会限制一些高权限 Kubernetes 原语,以限制工作负载对节点虚拟机进行低级访问。在上下文中对此进行设置:GKE Standard 提供对底层计算的完全访问权限,Autopilot 提供受限的访问权限,Cloud Run 不提供访问权限。 Autopilot 放宽了针对预定义第三方工具列表的限制,允许客户无需修改即可在 Autopilot 上运行这些工具。通过使用特权来创建带有主机路径装载的 Pod,研究人员将能够在 Pod 中运行特权容器,就如同使用某个被列入许可名单的第三方工具,从而获得对主机的访问权限。 在 GKE Standard 中,您能够以这种方式安排 Pod,但在 GKE Autopilot 中不能这样安排,因为它绕过了用于启用上述 SLA 的主机访问限制。 此问题可通过加强对第三方许可名单 Pod 规范的限制来解决。 从节点根提升权限除了主机访问权限之外,系统还将 我们已针对 GKE Standard 和 Autopilot 弃用并移除了 作为防止将来出现此类攻击的系统安全强化措施,我们将在未来版本中应用 Autopilot 限制条件来防止对
2022 年 3 月 15 日新增:使用变更网络钩子的持久性报告中使用了变更网络钩子,以在入侵后在集群中建立特权据点。这是集群管理员创建的 Kubernetes API 的标准部分,在 Autopilot 添加了对客户定义的网络钩子的支持后,管理员可以看到这些部分。 默认命名空间中的高权限服务账号Autopilot 政策实施程序之前将两个服务账号列入默认命名空间的许可名单: 该怎么做?所有 GKE Autopilot 集群都更新了其政策,以移除意外的主机访问权限,因此您无需采取进一步措施。 作为进一步的保护措施,我们将在未来几周内对 Autopilot 应用进一步的政策安全强化措施。您无需采取任何行动。 GKE Standard 集群和 GKE 集群不受影响,因为用户已经具有主机访问权限。作为系统安全强化措施,GKE Standard 集群和 GKE 集群用户可以使用 Gatekeeper 政策来应用类似的保护,以防止特权工作负载执行自行修改。有关说明,请参阅以下安全强化指南:
|
低 |
GCP-2022-008
发布时间:2022-02-23
更新时间:2022-04-28
参考文档:CVE-2022-23606、CVE-2022-21655、CVE-2021-43826、CVE-2021-43825、CVE-2021-43824、CVE-2022-21654、CVE-2022-21657、CVE-2022-21656
GKE
| 说明 | 严重程度 |
|---|---|
|
Envoy 项目最近发现了一组漏洞:CVE-2022-23606、CVE-2022-21655、CVE-2021-43826,CVE-2021-43825、CVE-2021-43824、CVE-2022-21654、CVE-2022-21657 和 CVE-2022-21656,可能会影响使用 Anthos Service Mesh 的 GKE 集群、Istio-on-GKE 或自定义 Istio 部署。 下面列出的所有问题已在 Envoy 版本 1.21.1 中修复。 技术背景 如需了解这些漏洞的详细信息,请点击此处。 该怎么做?运行 Anthos Service Mesh 的 GKE 集群应升级到包含修复上述漏洞的补丁的受支持版本
运行 Istio-on-GKE 的 GKE 集群应升级到包含修复上述漏洞的补丁的受支持版本
该补丁解决了哪些漏洞?CVE-2022-23606、CVE-2022-21655、CVE-2021-43826、CVE-2021-43825、CVE-2021-43824、CVE-2022-21654、CVE-2022-21657、CVE-2022-21656 |
高 |
GKE on VMware
更新时间:2022-04-28
| 说明 | 严重程度 |
|---|---|
Envoy 最近发布了多个安全漏洞修复。GKE on VMware 受影响,因为 Envoy 与指标服务器搭配使用。下面列出了我们正在修复的 Envoy CVE。在特定版本可用后,我们将更新此公告。
Istio 最近发布了一个安全漏洞修复。Anthos on VMware 会受到影响,因为 Istio 用于入站流量。我们正在修复的 Istio CVE 如下。在特定版本可用后,我们将更新此公告: CVE-2022-23635(CVSS 评分 7.5,高):Istiod 在收到包含特别设计的 `authorization` 标头的请求后崩溃。如需查看上述 CVE 的完整说明和影响,请参阅安全公告。 2022-04-28 添加:我该怎么做?以下版本的 GKE on VMware 可修复这些漏洞:
该补丁解决了哪些漏洞?CVE-2022-23606、CVE-2022-21655、CVE-2021-43826、CVE-2021-43825、CVE-2021-43824、CVE-2022-21654、CVE-2022-21657、CVE-2022-21656 |
高 |
Google Distributed Cloud Virtual for Bare Metal
| 说明 | 严重程度 |
|---|---|
Envoy 最近发布了多个安全漏洞修复。Anthos on Bare Metal 会受到影响,因为 Envoy 用于指标服务器。我们在 1.10.3、1.9.6 和 1.8.9 版本中修复的 Envoy CVE 如下:
如需查看上述 CVE 的完整说明和影响,请参阅安全公告。 该补丁解决了哪些漏洞?CVE-2022-23606、CVE-2022-21655、CVE-2021-43826、CVE-2021-43825、CVE-2021-43824、CVE-2022-21654、CVE-2022-21657、CVE-2022-21656 |
高 |
GCP-2022-006
发布日期:2022 年 2 月 14 日
更新日期:2022 年 5 月 16 日
2022 年 5 月 16 日更新:将 GKE 1.19.16-gke.7800 版或更高版本添加到包含修复此漏洞的代码的版本列表中。
2022 年 5 月 12 日更新:更新了 GKE、Google Distributed Cloud Virtual for Bare Metal、GKE on VMware 和 GKE on AWS 的补丁版本。
修复了在 2022 年 2 月 23 日添加 GKE on AWS 的安全公告时该公告未显示的问题。
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核的 该怎么做?2022 年 5 月 16 日更新:除了 2022 年 5 月 12 日更新中提及的 GKE 版本之外,GKE 1.19.16-gke.7800 版或更高版本还包含修复此漏洞的代码。 2022 年 5 月 12 日更新:以下 GKE 版本包含修复此漏洞的代码:
2022 年 2 月 15 日更新:更正了 gVisor 语句。 此漏洞是在
补丁程序将在后续版本中提供。补丁发布后,我们会更新此公告。 该补丁程序解决了哪一漏洞?CVE-2022-0492 |
低 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核的 该怎么做?2022 年 5 月 12 日更新:以下版本的 GKE on VMware 包含用于修复此漏洞的代码。 COS
此漏洞是在 kernel/cgroup/cgroup-v1.c 函数中 Linux kernel 内核的 cgroup_release_agent_write 中找到的,可能被利用来造成容器入侵。由于 Ubuntu 和 COS 上默认 AppArmor 配置文件的保护,GKE on VMware 不受影响。但是,如果某些客户修改 Pod 或容器 securityContext 字段,例如通过停用/更改 AppArmor 配置文件(不推荐),来放宽了对 pod 的安全限制,则这些客户仍然可能受到攻击。 补丁程序将在后续版本中提供。补丁发布后,我们会更新此公告。 该补丁程序解决了哪一漏洞?CVE-2022-0492 |
低 |
GKE on AWS
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核的 该怎么做?2022 年 5 月 12 日更新:以下当前和先前版本的 GKE on AWS 包含修复此漏洞的代码: 当前版本
2022 年 2 月 23 日更新:添加了 GKE on AWS 的说明。 GKE on AWS 先前和当前世代均不受影响,原因是受到 Ubuntu 上的默认 AppArmor 配置文件的保护。但是,如果某些客户修改 Pod 或容器 securityContext 字段,例如通过停用/更改 AppArmor 配置文件(不推荐),来放宽了对 pod 的安全限制,则这些客户仍然可能受到攻击。 补丁程序将在后续版本中提供。补丁发布后,我们会更新此公告。 该补丁程序解决了什么漏洞?CVE-2022-0492 |
低 |
GKE Enterprise
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核的 该怎么做?2022 年 5 月 12 日更新:以下版本的 GKE on Azure 包含用于修复此漏洞的代码:
由于 Ubuntu 上的默认 AppArmor 配置文件的保护,GKE on Azure 不受影响。但是,如果某些客户修改 Pod 或容器 securityContext 字段,例如通过停用/更改 AppArmor 配置文件(不推荐),来放宽了对 pod 的安全限制,则这些客户仍然可能受到攻击。 补丁程序将在后续版本中提供。补丁发布后,我们会更新此公告。 该补丁程序解决了哪一漏洞?CVE-2022-0492 |
低 |
GCP-2022-005
发布日期:2022 年 02 月 11 日更新日期:2022 年 02 月 15 日
参考编号:CVE-2021-43527
GKE
| 说明 | 严重程度 |
|---|---|
更新日期 2022 年 2 月 15 日:原始公告中提到的一些 GKE 版本与其他修复程序合并,并在发布前递增版本号。补丁程序可在以下 GKE 版本中使用:
在与低于 3.73 或 3.68.1 的 NSS(网络安全服务)版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中,找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响,具体取决于 NSS 的使用/配置方式。GKE COS 和 Ubuntu 映像都安装了易受攻击的版本,需要进行修补。 CVE-2021-43527 可能会对使用 NSS 处理 CMS、S/MIME、PKCS#7 或 PKCS#12 中编码的签名的应用产生广泛影响。而且,使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响。影响取决于 NSS 的使用/配置方式。 GKE 不会对任何可通过互联网访问的 API 使用 libnss3。这种影响仅限于在容器之外运行的主机代码,由于 Chrome 操作系统的设计极少,因此该代码很小。使用 golang distroless 基础映像在容器内运行的 GKE 代码不受影响。 该怎么做?以下版本的 GKE 的 Linux 节点映像版本已更新,内含修复这些漏洞的代码。将控制平面和节点升级到以下 GKE 版本之一:
该补丁程序解决了哪一漏洞? |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在与低于 3.73 或 3.68.1 的 NSS(网络安全服务)版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中,找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响,具体取决于它们如何配置 NSS。GKE on VMware COS 和 Ubuntu 映像都安装了易受攻击的版本,需要进行修补。 CVE-2021-43527 可能会对使用 NSS 处理 CMS、S/MIME、PKCS \#7 或 PKCS \#12 中编码的签名的应用产生广泛影响。而且,使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响。影响取决于他们配置/使用 NSS 的方式。Anthos on VMware 不会对任何可公开访问的 API 使用 libnss3,因此影响有限,并且此 CVE 对 GKE on VMware 的严重性分级为“中”。 该怎么做?以下版本的 Anthos 的 Linux 节点映像版本已更新,内含修复这些漏洞的代码。将控制平面和节点升级到以下 Anthos 版本之一:
您使用的 GKE on VMware 版本是否低于 1.18?您使用的 Anthos 版本失去服务等级协议 (SLA) 覆盖,应考虑升级到一个受支持的版本。 该补丁程序解决了哪一漏洞? |
中 |
GKE Enterprise
| 说明 | 严重程度 |
|---|---|
|
在与低于 3.73 或 3.68.1 的 NSS(网络安全服务)版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中,找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响,具体取决于 NSS 的使用/配置方式。Anthos Clusters on Azure Ubuntu 映像安装了安装了易受攻击的版本,需要进行修补。 CVE-2021-43527 可能会对使用 NSS 处理 CMS、S/MIME、PKCS#7 或 PKCS#12 中编码的签名的应用产生广泛影响。而且,使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响。影响取决于他们配置/使用 NSS 的方式。Anthos clusters on Azure 不为任何可公开访问的 API 使用 libnss3,因此影响有限,并且对于 Anthos on Azure,此 CVE 的严重级别分级为“中”。 该怎么做?以下版本的 GKE on Azure 的 Linux 节点映像版本已更新,包含修复这些漏洞的代码。将集群升级到以下 Anthos on Azure 版本之一:
该补丁程序解决了哪一漏洞? |
中 |
GCP-2022-004
发布日期:2022-02-04参考编号:CVE-2021-4034
GKE
| 说明 | 严重程度 |
|---|---|
|
在 pkexec 中发现了一个安全漏洞 CVE-2021-4034,该漏洞是 Linux 政策套件软件包 (pokit) 的一部分,它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用,以允许非 root 用户执行受政策约束的操作,例如重新启动系统、安装软件包、重启服务等。 该怎么做?GKE 不会受到影响,因为 GKE 中使用的 COS 或 Ubuntu 映像上未安装存在漏洞的 policykit-1 模块。您无需采取任何行动。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 pkexec 中发现了一个安全漏洞 CVE-2021-4034,该漏洞是 Linux 政策套件软件包 (pokit) 的一部分,它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用,以允许非 root 用户执行受政策约束的操作,例如重新启动系统、安装软件包、重启服务等。 GKE Enterprise 默认配置已为用户提供完整的“sudo”权限,因此这个漏洞不会改变 GKE Enterprise 现有的安全状况 技术详情要利用此错误发起攻击,攻击者需要节点文件系统的非 root shell,并且要求目标系统上安装了存在漏洞的 pkexec 版本。虽然 GKE on VMware 确实在其发布版本映像中包含了 policykit-1 版本,但 GKE Enterprise 默认配置允许拥有 Shell 访问权限的任何人使用无密码 sudo,因此这个漏洞不会为用户提供比他们已有特权更高的任何特权。 该怎么做?无需进行任何操作。GKE on VMware 不受影响。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
| GKE on AWS 不受影响。当前版本和先前版本的 GKE on AWS 使用的 Ubuntu 映像上均未安装存在漏洞的模块 (policykit-1)。 | 无 |
GKE Enterprise
| 说明 | 严重程度 |
|---|---|
|
在 pkexec 中发现了一个安全漏洞 CVE-2021-4034,该漏洞是 Linux 政策套件软件包 (pokit) 的一部分,它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用,以允许非 root 用户执行受政策约束的操作,例如重新启动系统、安装软件包、重启服务等。 GKE Enterprise 默认配置已为用户提供完整的“sudo”权限,因此这个漏洞不会改变 GKE Enterprise 现有的安全状况 技术详情要利用此错误发起攻击,攻击者需要节点文件系统的非 root shell,并且要求目标系统上安装了存在漏洞的 pkexec 版本。虽然 GKE on Azure 确实在其发布版本映像中包含了 policykit-1 版本,但 GKE Enterprise 默认配置允许拥有 Shell 访问权限的任何人使用无密码 sudo,因此这个漏洞不会为用户提供比他们已有特权更高的任何特权。 该怎么做?无需进行任何操作。GKE on Azure 不受影响。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
| Google Distributed Cloud Virtual for Bare Metal 可能会受到影响,具体取决于由客户管理的操作系统上安装的软件包。请扫描您的操作系统映像,并在必要时进行修补。 | 无 |
GCP-2022-002
发布日期:2022-02-01更新日期:2022-03-07
参考编号:CVE-2021-4154、CVE-2021-22600、CVE-2022-0185
2022-02-04 更新:新增了有关 GKE on AWS 和 GKE on Azure 的部分。新增了针对 GKE 和 GKE on VMware 的发布更新。
GKE
更新日期:2022-03-07
| 说明 | 严重程度 |
|---|---|
|
已在 Linux 内核中发现三个安全漏洞:CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185,其中每个都可能导致容器入侵和/或在主机上发生权限提升。这些漏洞会影响 GKE、GKE on VMware、GKE on AWS(当前版本和上一代)和 GKE on Azure 上的所有节点操作系统(COS 和 Ubuntu)。 使用 GKE Sandbox 的 Pod 不受这些漏洞的影响。 请参阅 COS 版本说明了解详情。 技术详情在 CVE-2021-4154 中,攻击者可以利用 CVE-2021-22600 是 packet_set_ring 中的双重释放漏洞,可能导致容器逃逸到主机节点。 使用 CVE-2022-0185 时,legacy_parse_param() 中的堆溢出错误可能会导致写入超出范围,从而造成容器入侵。 在 GKE Autopilot 集群上,系统默认会使用 seccomp 过滤条件阻止此漏洞依赖于“停止分享”系统调用的漏洞利用路径。 在 GKE 标准集群上手动启用默认容器运行时 seccomp 配置文件的用户也会受到保护。 该怎么做?2022-03-07 更新:以下 GKE 版本的 Linux 节点映像版本已更新,内含修复 Ubuntu 和 COS 映像的所有相关漏洞的代码。将控制平面和节点升级到以下 GKE 版本之一。
2022 年 2 月 25 日更新:如果您使用 Ubuntu 节点映像,1.22.6-gke.1000 将不会解决 CVE-2021-22600。在 Ubuntu 补丁程序版本可用后,我们将更新此公告。 2022 年 2 月 23 日更新:以下 GKE 版本的 Linux 节点映像版本已更新,内含修复这些漏洞的代码。将集群升级到以下 GKE 版本之一。
2022 年 2 月 4 日更新:GKE 补丁版本的发布开始日期为 2 月 2 日。 以下版本的 GKE 的 Linux 节点映像版本已更新,内含修复这些漏洞的代码。将集群升级到以下 GKE 版本之一。
1.22 和 1.23 版本也在开发中。在特定版本可用后,我们将更新此公告。 该补丁程序解决了哪一漏洞? |
高 |
在以下位置上的 GKE 集群
更新日期:2022 年 2 月 23 日
| 说明 | 严重程度 |
|---|---|
|
已在 Linux 内核中发现三个安全漏洞:CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185,其中每个都可能导致容器入侵和/或在主机上发生权限提升。这些漏洞会影响 GKE、GKE on VMware、GKE on AWS(当前版本和上一代)和 GKE on Azure 上的所有节点操作系统(COS 和 Ubuntu)。 请参阅 COS 版本说明了解详情。 技术详情在 CVE-2021-4154 中,攻击者可以利用 CVE-2021-22600 是 packet_set_ring 中的双重释放漏洞,可能导致容器逃逸到主机节点。 使用 CVE-2022-0185 时,legacy_parse_param() 中的堆溢出错误可能会导致写入超出范围,从而造成容器入侵。 在 GKE 标准集群上手动启用默认容器运行时 seccomp 配置文件的用户也会受到保护。 该怎么做?2022 年 2 月 23 日更新:1.10.2 版(修复 CVE-2021-22600、CVE-2021-4154 和 CVE-2022-0185)现已安排在 3 月 1 日实施。 2022 年 2 月 23 日更新:添加了解决 CVE-2021-2260 的修补版本。 1.10.1 版不解决 CVE-2021-22600,但可解决其他漏洞。1.9.4 和 1.10.2 版均未发布,将解决 CVE-2021-22600。以下 GKE on VMware 版本的 Linux 节点映像版本已更新,内含修复这些漏洞的代码。将集群升级到以下 GKE on VMware 版本之一:
2022 年 2 月 4 日更新:添加了有关未解决 CVE-2021-22600 的 Ubuntu 映像的信息。 以下版本的 GKE on VMware 的 Linux 节点映像版本已更新,包含修复这些漏洞的代码。将集群升级到以下 GKE on VMware 版本之一:
该补丁程序解决了哪一漏洞? |
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
已在 Linux 内核中发现三个安全漏洞:CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185,其中每个都可能导致容器入侵和/或在主机上发生权限提升。这些漏洞会影响 GKE、GKE on VMware、GKE on AWS(当前版本和上一代)和 GKE on Azure 上的所有节点操作系统(COS 和 Ubuntu)。 请参阅 COS 版本说明了解详情。 技术详情在 CVE-2021-4154 中,攻击者可以利用 CVE-2021-22600 是 packet_set_ring 中的双重释放漏洞,可能导致容器逃逸到主机节点。 使用 CVE-2022-0185 时,legacy_parse_param() 中的堆溢出错误可能会导致写入超出范围,从而造成容器入侵。 在 GKE 标准集群上手动启用默认容器运行时 seccomp 配置文件的用户也会受到保护。 该怎么做?GKE on AWS以下版本的 GKE on AWS 的 Linux 节点映像版本已更新,包含修复这些漏洞的代码。将集群升级到以下 GKE on AWS 版本:
GKE on AWS(上一代)以下版本的 GKE on AWS(上一代)的 Linux 节点映像版本已更新,包含修复这些漏洞的代码。将集群升级到以下 GKE on AWS(上一代)版本之一:
该补丁程序解决了哪一漏洞? |
高 |
GKE Enterprise
| 说明 | 严重程度 |
|---|---|
|
已在 Linux 内核中发现三个安全漏洞:CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185,其中每个都可能导致容器入侵和/或在主机上发生权限提升。这些漏洞会影响 GKE、GKE on VMware、GKE on AWS(当前版本和上一代)和 GKE on Azure 上的所有节点操作系统(COS 和 Ubuntu)。 请参阅 COS 版本说明了解详情。 技术详情在 CVE-2021-4154 中,攻击者可以利用 CVE-2021-22600 是 packet_set_ring 中的双重释放漏洞,可能导致容器逃逸到主机节点。 使用 CVE-2022-0185 时,legacy_parse_param() 中的堆溢出错误可能会导致写入超出范围,从而造成容器入侵。 在 GKE 标准集群上手动启用默认容器运行时 seccomp 配置文件的用户也会受到保护。 该怎么做?以下版本的 GKE on Azure 的 Linux 节点映像版本已更新,包含修复这些漏洞的代码。将集群升级到以下 GKE on Azure 版本:
该补丁程序解决了哪一漏洞? |
高 |
GCP-2021-024
发布日期:2021-10-21参考编号:CVE-2021-25742
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。 该怎么做?此安全问题不会影响 GKE 集群基础设施或任何 GKE Enterprise 环境集群基础设施。如果您在工作负载部署中使用 ingress-nginx,则应注意此安全问题。如需了解详情,请参阅 ingress-nginx 问题 7837。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。 该怎么做?此安全问题不会影响 GKE 集群基础设施或任何 GKE Enterprise 环境集群基础设施。如果您在工作负载部署中使用 ingress-nginx,则应注意此安全问题。如需了解详情,请参阅 ingress-nginx 问题 7837。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。 该怎么做?此安全问题不会影响 GKE 集群基础设施或任何 GKE Enterprise 环境集群基础设施。如果您在工作负载部署中使用 ingress-nginx,则应注意此安全问题。如需了解详情,请参阅 ingress-nginx 问题 7837。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。 该怎么做?此安全问题不会影响 GKE 集群基础设施或任何 GKE Enterprise 环境集群基础设施。如果您在工作负载部署中使用 ingress-nginx,则应注意此安全问题。如需了解详情,请参阅 ingress-nginx 问题 7837。 |
无 |
GCP-2021-019
发布时间:2021 年 9 月 29 日GKE
| 说明 | 严重程度 |
|---|---|
|
存在一个已知问题,即使用 我会受到影响吗?如果您已使用 kubectl get backendconfigs -A -o json | \
jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
此问题会影响以下 GKE 版本:
如果您未通过 该怎么做?将 GKE 控制平面升级到以下更新后的版本之一,该版本可以修补此问题并允许安全使用
此问题也可以通过避免部署 为防止此问题,请仅使用 由于 以下示例清单描述了使用 apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
name: my-backend-config
spec:
securityPolicy:
name: "ca-how-to-security-policy"
如果您有定期更新 |
低 |
GCP-2021-022
发布日期:2021-09-23在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 GKE on VMware 版本 1.8 和 1.8.1 的 GKE Enterprise Identity Service (AIS) LDAP 模块中发现了一个漏洞,在该漏洞中,用于生成密钥的种子密钥是可预测的。利用此漏洞,经过身份验证的用户可以无限期地添加任意声明和提升权限。 技术详情最近给 AIS 代码添加了内容,以使用 golang 的 math/rand 模块创建对称密钥,但此类模块不适用于安全敏感代码。该模块的使用方式会生成可预测的密钥。在身份验证期间,系统会生成安全令牌服务 (STS) 密钥,该密钥随后使用易于派生的对称密钥进行加密。 该怎么做?此漏洞仅影响在 GKE on VMware 1.8 和 1.8.1 版中使用 AIS 的客户。对于 GKE on VMware 1.8 的用户,请将集群升级到以下版本:
|
高 |
GCP-2021-021
发布日期:2021-09-22参考编号:CVE-2020-8561
GKE
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561,某些网络钩子可以将 技术详情利用此漏洞,控制 您可以通过更改 API 服务器的特定参数来缓解此问题。 该怎么做?目前不需要采取任何措施。 目前可用的 GKE 和 GKE Enterprise 版本已实施以下缓解措施来抵御此类攻击:
该补丁程序解决了哪一漏洞?<pCVE-2020-8561 </p |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561,某些网络钩子可以将 技术详情利用此漏洞,控制 您可以通过更改 API 服务器的特定参数来缓解此问题。 该怎么做?目前不需要采取任何措施。 目前可用的 GKE 和 GKE Enterprise 版本已实施以下缓解措施来抵御此类攻击:
该补丁程序解决了哪一漏洞?<pCVE-2020-8561 </p |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561,某些网络钩子可以将 技术详情利用此漏洞,控制 您可以通过更改 API 服务器的特定参数来缓解此问题。 该怎么做?目前不需要采取任何措施。 目前可用的 GKE 和 GKE Enterprise 版本已实施以下缓解措施来抵御此类攻击:
该补丁程序解决了哪一漏洞?<pCVE-2020-8561 </p |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561,某些网络钩子可以将 技术详情利用此漏洞,控制 您可以通过更改 API 服务器的特定参数来缓解此问题。 该怎么做?目前不需要采取任何措施。 目前可用的 GKE 和 GKE Enterprise 版本已实施以下缓解措施来抵御此类攻击:
该补丁程序解决了哪一漏洞?<pCVE-2020-8561 </p |
中 |
GCP-2021-018
发布日期:2021-09-15更新日期:2021-09-24
参考编号:CVE-2021-25741
2021 年 9 月 24 日更新:GKE on Bare Metal 公告已更新,新增了一些修补版本。
2021 年 9 月 20 日更新:添加了针对 GKE on Bare Metal 的公告
2021 年 9 月 16 日更新:添加了针对 GKE on VMware 的公告
GKE
| 说明 | 严重程度 |
|---|---|
|
您好!在 Kubernetes 中发现了一个安全问题(如 CVE-2021-25741 中所述),导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录,包括主机文件系统。 技术详情:在 CVE-2021-25741 中,攻击者可以创建从装载的 emptyDir 到节点根文件系统 ( / ) 的符号链接,而 kubelet 将遵循符号链接,并将主机根目录装载到容器中。该怎么做?我们建议您将节点池升级到以下版本之一或更高版本,以利用最新补丁程序:
以下版本还包含修复:
|
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
您好!在 Kubernetes 中发现了一个安全问题(如 CVE-2021-25741 中所述),导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录,包括主机文件系统。 技术详情:在 CVE-2021-25741 中,攻击者可以创建从装载的 emptyDir 到节点根文件系统 ( / ) 的符号链接,而 kubelet 将遵循符号链接,并将主机根目录装载到容器中。该怎么做?2021-09-24 更新:修补版本 1.8.3 和 1.7.4 现已发布。 2021-09-17 更新:更正了包含补丁程序的可用版本列表。 为了修复此漏洞,我们已对以下版本的 GKE on VMware 进行了代码更新。将管理员集群和用户集群升级到以下版本之一:
|
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
您好!在 Kubernetes 中发现了一个安全问题(如 CVE-2021-25741 中所述),导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录,包括主机文件系统。 技术详情:在 CVE-2021-25741 中,攻击者可以创建从装载的 emptyDir 到节点根文件系统 ( / ) 的符号链接,而 kubelet 将遵循符号链接,并将主机根目录装载到容器中。该怎么做?2021-9-16 更新:添加了 以下版本的 GKE on AWS 已进行了代码更新,以修复此漏洞。建议您执行以下操作:
|
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
您好!在 Kubernetes 中发现了一个安全问题(如 CVE-2021-25741 中所述),导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录,包括主机文件系统。 技术详情:在 CVE-2021-25741 中,攻击者可以创建从装载的 emptyDir 到节点根文件系统 ( / ) 的符号链接,而 kubelet 将遵循符号链接,并将主机根目录装载到容器中。该怎么做?为了修复此漏洞,我们已对以下版本的 GKE on Bare Metal 进行了代码更新。将管理员集群和用户集群升级到以下版本之一:
|
高 |
GCP-2021-017
发布日期:2021-09-01更新日期:2021-09-23
参考编号:CVE-2021-33909
CVE-2021-33910
GKE
| 说明 | 严重程度 |
|---|---|
2021-09-23 更新:对于源自 GKE Sandbox 中运行的容器的攻击,这些容器不受此漏洞影响。 2021-09-15 更新:以下 GKE 版本解决了这些漏洞:
在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910,可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统(COS 和 Ubuntu)。 技术详情:在 CVE-2021-33909 中,Linux 内核的文件系统层未正确限制 seq 缓冲区分配,从而导致整数溢出、超出范围写入以及提升至 root。 该怎么做?以下版本的 GKE 的 Linux 节点映像版本已更新,内含修复此漏洞的代码。将集群升级到以下版本之一:
|
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910,可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统(COS 和 Ubuntu)。 技术详情:在 CVE-2021-33909 中,Linux 内核的文件系统层未正确限制 seq 缓冲区分配,从而导致整数溢出、超出范围写入以及提升至 root。 该怎么做?GKE on AWS 的 Linux 节点映像版本已更新,内含修复此漏洞的代码。将集群升级到以下版本之一:
|
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910,可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统(COS 和 Ubuntu)。 技术详情:在 CVE-2021-33909 中,Linux 内核的文件系统层未正确限制 seq 缓冲区分配,从而导致整数溢出、超出范围写入以及提升至 root。 该怎么做?GKE on VMware 的 Linux 和 COS 节点映像版本已更新代码以修复此漏洞。将集群升级到以下版本之一:
|
高 |
GCP-2021-015
发布日期:2021-07-13更新日期:2021-07-15
参考编号:CVE-2021-22555
GKE
| 说明 | 严重程度 |
|---|---|
|
发现了新的安全漏洞 CVE-2021-22555,即具有 技术详情
在这种攻击中,Linux 的 该怎么做?以下版本的 Linux on GKE 已更新,内含修复此漏洞的代码。将集群升级到以下版本之一:
该补丁程序解决了哪一漏洞? |
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
发现了新的安全漏洞 CVE-2021-22555,即具有 技术详情
在这种攻击中,Linux 的 该怎么做?为了修复此漏洞,我们已对以下版本的 GKE on VMware 进行了代码更新。将集群升级到以下版本之一:
该补丁程序解决了哪一漏洞? |
高 |
GCP-2021-014
发布日期:2021-07-05参考编号:CVE-2021-34527
GKE
| 说明 | 严重程度 |
|---|---|
|
Microsoft 发布了有关远程代码执行 (RCE) 漏洞的安全公告 CVE-2021-34527,该漏洞会影响 Windows 服务器的打印假脱机程序。CERT 协调中心 (CERT/CC) 发布了一个相关漏洞的更新说明,该补丁程序名为“PrintNightmare”,也影响 Windows 打印后台处理程序 - PrintNightmare, Critical Windows Print Spooler Vulnerability 该怎么做?您无需采取任何行动。GKE Windows 节点不包含受影响的 Spooler 服务作为基础映像的一部分,因此 GKE Windows 部署不容易受到此攻击。 该公告解决了哪些漏洞?
|
高 |
GCP-2021-012
发布日期:2021-07-01更新日期:2021-07-09
参考编号:CVE-2021-34824
GKE
| 说明 | 严重程度 |
|---|---|
该怎么做?Istio 项目最近披露了影响 Istio 的新的安全漏洞 (CVE-2021-34824)。Istio 包含一个远程可利用的漏洞,攻击者可以利用该漏洞通过不同的命名空间访问网关和 DestinationRule credentialName 字段中指定的凭据。 技术详情:Istio 安全网关或使用 DestinationRule 的工作负载可以通过 credentialName 配置从 Kubernetes Secret 加载 TLS 私钥和证书。从 Istio 1.8 及更高版本开始,Secret 从 istiod 读取并通过 XDS 传送到网关和工作负载。 通常,网关或工作负载部署只能访问存储在其命名空间内 Secret 中的 TLS 证书和私钥。但是,istiod 中的错误允许有权访问 Istio XDS API 的客户端检索 istiod 中缓存的所有 TLS 证书和私钥。 该怎么做?GKE 集群默认不会运行 Istio,不受此漏洞影响;如果已启用此功能,使用 Istio 1.6 版也不受此漏洞影响。如果您已在集群上安装或将其升级到 Istio 1.8 或更高版本,请将 Istio 升级到受支持的最新版本。 |
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
该怎么做?Istio 项目最近披露了影响 Istio 的新的安全漏洞 (CVE-2021-34824)。Istio 包含一个远程可利用的漏洞,攻击者可以利用该漏洞通过不同的命名空间访问网关和 DestinationRule credentialName 字段中指定的凭据。 技术详情:Istio 安全网关或使用 DestinationRule 的工作负载可以通过 credentialName 配置从 Kubernetes Secret 加载 TLS 私钥和证书。从 Istio 1.8 及更高版本开始,Secret 从 istiod 读取并通过 XDS 传送到网关和工作负载。 通常,网关或工作负载部署只能访问存储在其命名空间内 Secret 中的 TLS 证书和私钥。但是,istiod 中的错误允许有权访问 Istio XDS API 的客户端检索 istiod 中缓存的所有 TLS 证书和私钥。 该怎么做?Anthos clusters on VMware v1.6 和 v1.7 均不受此漏洞影响。Anthos clusters on VMware v1.8 受此漏洞影响。 如果您使用的是 Anthos clusters on VMware v1.8,请升级到以下经过修补的版本或更高版本:
|
高 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
该怎么做?Istio 项目最近披露了影响 Istio 的新的安全漏洞 (CVE-2021-34824)。Istio 包含一个远程可利用的漏洞,攻击者可以利用该漏洞通过不同的命名空间访问网关和 DestinationRule credentialName 字段中指定的凭据。 技术详情:Istio 安全网关或使用 DestinationRule 的工作负载可以通过 credentialName 配置从 Kubernetes Secret 加载 TLS 私钥和证书。从 Istio 1.8 及更高版本开始,Secret 从 istiod 读取并通过 XDS 传送到网关和工作负载。 通常,网关或工作负载部署只能访问存储在其命名空间内 Secret 中的 TLS 证书和私钥。但是,istiod 中的错误允许有权访问 Istio XDS API 的客户端检索 istiod 中缓存的所有 TLS 证书和私钥。使用 Anthos clusters on Bare Metal v1.8.0 创建或升级的集群会受到此 CVE 的影响。 该怎么做?Anthos v1.6 和 1.7 均不受此漏洞影响。如果您使用的是 v1.8.0 集群,请下载并安装 1.8.1 版本的 bmctl,并将您的集群升级到以下修补后的版本:
|
高 |
GCP-2021-011
发布日期:2021-06-04更新日期:2021-10-19
参考编号:CVE-2021-30465
2021 年 10 月 19 日更新:添加了 GKE on VMware、GKE on AWS 和 GKE on Bare Metal 的公告。
GKE
| 说明 | 严重程度 |
|---|---|
|
安全社区近期披露了在 对于 GKE,由于利用此漏洞需要具备创建 Pod 的能力,因此我们将此漏洞的严重性评级为中等。 技术详情
对于此特定攻击,用户可能通过在同一节点上启动多个 pod(所有节点都通过符号链接共享同一个卷装载)来利用竞态条件。 如果攻击成功,其中一个 pod 将使用 root 权限装载节点的文件系统。 该怎么做?
将 GKE 集群升级到以下更新版本之一:
|
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
安全社区近期披露了在 对于 GKE on VMware,由于利用此漏洞需要具备创建 Pod 的能力,因此我们将此漏洞的严重性评级为中等。 技术详情
对于此特定攻击,用户可能通过在同一节点上启动多个 pod(所有节点都通过符号链接共享同一个卷装载)来利用竞态条件。 如果攻击成功,其中一个 pod 将使用 root 权限装载节点的文件系统。 该怎么做?
|
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
安全社区近期披露了在 由于 Anthos 是操作系统级别的漏洞,因此 GKE on AWS 不易受攻击。 技术详情
对于此特定攻击,用户可能通过在同一节点上启动多个 pod(所有节点都通过符号链接共享同一个卷装载)来利用竞态条件。 如果攻击成功,其中一个 pod 将使用 root 权限装载节点的文件系统。 该怎么做?确保将运行 GKE on AWS 的操作系统版本升级到具有更新后的runc 软件包的最新操作系统版本。
|
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
安全社区近期披露了在 由于 Anthos 是操作系统级别的漏洞,因此 GKE on Bare Metal 不易受攻击。 技术详情
对于此特定攻击,用户可能通过在同一节点上启动多个 pod(所有节点都通过符号链接共享同一个卷装载)来利用竞态条件。 如果攻击成功,其中一个 pod 将使用 root 权限装载节点的文件系统。 该怎么做?
确保将运行 Google Distributed Cloud Virtual for Bare Metal 的操作系统版本升级到包含更新后的 |
无 |
GCP-2021-006
发布日期:2021-05-11参考编号:CVE-2021-31920
GKE
| 说明 | 严重程度 |
|---|---|
|
Istio 项目最近披露了影响 Istio 的新的安全漏洞 (CVE-2021-31920)。 Istio 包含一个可远程利用的漏洞,在使用基于路径的授权规则时,如果 HTTP 请求包含多个斜杠或转义的斜杠字符,该请求可以绕过 Istio 授权政策。 该怎么做?我们强烈建议您更新并重新配置 GKE 集群。请注意,您必须完成以下两个步骤,才能成功解决该漏洞:
|
高 |
GCP-2021-004
发布日期:2021-05-06参考编号:CVE-2021-28683、CVE-2021-28682、CVE-2021-29258
GKE
| 说明 | 严重程度 |
|---|---|
|
Envoy 和 Istio 项目最近公布了几个新的安全漏洞(CVE-2021-28683、CVE-2021-28682 和 CVE-2021-29258),攻击者可能会利用这些漏洞使 Envoy 崩溃。 GKE 集群默认不会运行 Istio,不受此漏洞影响。如果 Istio 已安装在集群中并配置为在互联网上公开服务,这些服务可能容易受到拒绝服务攻击。 该怎么做?要修复这些漏洞,请将 GKE 控制层面升级到以下某个修补后的版本:
|
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
Envoy 和 Istio 项目最近公布了几个新的安全漏洞(CVE-2021-28683、CVE-2021-28682 和 CVE-2021-29258),攻击者可能会利用这些漏洞使 Envoy 崩溃。 GKE on VMware 默认将 Envoy 用于 Ingress,因此 Ingress 服务可能容易遭到拒绝服务攻击。 该怎么做?如需修复这些漏洞,请将 GKE on VMware 升级到以下某个修补后的版本(发布时):
|
中 |
在以下位置上的 GKE 集群
更新日期:2021-05-06
| 说明 | 严重程度 |
|---|---|
|
Envoy 和 Istio 项目最近公布了几个新的安全漏洞(CVE-2021-28683、CVE-2021-28682 和 CVE-2021-29258),攻击者可能会利用这些漏洞使 Envoy 崩溃。 Google Distributed Cloud Virtual for Bare Metal 默认将 Envoy 用于 Ingress,因此 Ingress 服务可能容易遭到拒绝服务攻击。 该怎么做?要修复这些漏洞,请将 Google Distributed Cloud Virtual for Bare Metal 集群升级到以下某个修补后的版本(发布时):
|
中 |
GCP-2021-003
发布日期:2021-04-19参考编号:CVE-2021-25735
GKE
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 项目最近公布了新的安全漏洞 CVE-2021-25735,该安全漏洞会导致节点更新绕过验证准入网络钩子。 如果攻击者拥有足够的权限,并且验证准入网络钩子使用旧的 该怎么做?如需修复此漏洞,请将 GKE 集群升级到以下经过修补的版本之一:
|
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 项目最近公布了新的安全漏洞 CVE-2021-25735,该安全漏洞会导致节点更新绕过验证准入网络钩子。 如果攻击者拥有足够的权限,并且验证准入网络钩子使用旧的 该怎么做?即将推出的补丁程序版本将包含针对此漏洞的缓解措施。 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 项目最近公布了新的安全漏洞 CVE-2021-25735,该安全漏洞会导致节点更新绕过验证准入网络钩子。 如果攻击者拥有足够的权限,并且验证准入网络钩子使用旧的 该怎么做?即将推出的补丁程序版本将包含针对此漏洞的缓解措施。 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 项目最近公布了新的安全漏洞 CVE-2021-25735,该安全漏洞会导致节点更新绕过验证准入网络钩子。 如果攻击者拥有足够的权限,并且验证准入网络钩子使用旧的 该怎么做?即将推出的补丁程序版本将包含针对此漏洞的缓解措施。 |
中 |
GCP-2021-001
发布日期:2021-01-28参考编号:CVE-2021-3156
GKE
| 说明 | 严重程度 |
|---|---|
|
近期在 Linux 实用程序 Google Kubernetes Engine (GKE) 集群不受此漏洞的影响:
该怎么做?由于 GKE 集群不受此漏洞的影响,因此无需采取进一步行动。 GKE 将定期在未来的版本中应用此漏洞的补丁程序。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
近期在 Linux 实用程序 GKE on VMware 不受此漏洞的影响:
该怎么做?由于 VMware 集群上的 GKE 不受此漏洞的影响,因此无需采取进一步行动。 GKE on VMware 将定期在未来的版本中应用此漏洞的补丁。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
近期在 Linux 实用程序 GKE on AWS 不受此漏洞的影响:
该怎么做?由于 AWS 集群上的 GKE 不受此漏洞的影响,因此无需采取进一步行动。 GKE on AWS 将定期在未来的版本中应用此漏洞的补丁。 |
无 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
近期在 Linux 实用程序 Google Distributed Cloud Virtual for Bare Metal 集群不受此漏洞的影响:
该怎么做?由于 Google Distributed Cloud Virtual for Bare Metal 集群不受此漏洞的影响,因此无需采取进一步行动。 Google Distributed Cloud Virtual for Bare Metal 将定期在未来的版本中应用此漏洞的补丁。 |
无 |
GCP-2020-015
发布日期:2020-12-07更新日期:2021-12-22
参考编号:CVE-2020-8554
2021 年 12 月 22 日更新:使用 gcloud beta 代替 gcloud 命令。
2021 年 12 月 15 日更新:为 GKE 添加了额外的缓解措施。
GKE
| 说明 | 严重程度 |
|---|---|
更新日期:2021-12-22:下一部分中的 GKE 命令应使用 gcloud beta 而不是 gcloud 命令。gcloud beta container clusters update –no-enable-service-externalips 更新日期:2021-12-15:对于 GKE,以下缓解措施现已发布:
如需了解详情,请参阅强化集群的安全性。 Kubernetes 项目最近发现新的安全漏洞 CVE-2020-8554,它可能允许已获得创建 LoadBalancer 或 ClusterIP 类型的 Kubernetes Service 的权限的攻击者拦截来自集群中其他 pod 的网络流量。 此漏洞本身不会给予攻击者创建 Kubernetes 服务的权限。 所有 Google Kubernetes Engine (GKE) 集群都会受此漏洞的影响。 该怎么做?Kubernetes 可能需要在未来版本中进行向后不兼容的设计更改,以解决该漏洞。 如果许多用户共享集群的访问权限并具有创建 Service 的权限(例如在一个多租户集群中),请考虑同时应用缓解措施。目前,最好的缓解方法是限制 ExternalIP 在集群中的使用。ExternalIP 不是常用功能。 通过以下任一方法限制 ExternalIP 在集群中的使用:
如 Kubernetes 公告中所述,不会为 LoadBalancer 类型的 Service 的提供缓解措施,因为默认情况下,仅高权限用户和系统组件会被授予利用此漏洞所需的 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
更新日期:2021-12-22:下一部分中的 GKE 命令应使用 gcloud beta 而不是 gcloud 命令。gcloud beta container clusters update –no-enable-service-externalips 更新日期:2021-12-15:对于 GKE,以下缓解措施现已发布:
如需了解详情,请参阅强化集群的安全性。 Kubernetes 项目最近发现新的安全漏洞 CVE-2020-8554,它可能允许已获得创建 LoadBalancer 或 ClusterIP 类型的 Kubernetes Service 的权限的攻击者拦截来自集群中其他 pod 的网络流量。 此漏洞本身不会给予攻击者创建 Kubernetes 服务的权限。 所有 GKE on VMware 都会受到此漏洞的影响。 该怎么做?Kubernetes 可能需要在未来版本中进行向后不兼容的设计更改,以解决该漏洞。 如果许多用户共享集群的访问权限并具有创建 Service 的权限(例如在一个多租户集群中),请考虑同时应用缓解措施。目前,最好的缓解方法是限制 ExternalIP 在集群中的使用。ExternalIP 不是常用功能。 通过以下任一方法限制 ExternalIP 在集群中的使用:
如 Kubernetes 公告中所述,不会为 LoadBalancer 类型的 Service 的提供缓解措施,因为默认情况下,仅高权限用户和系统组件会被授予利用此漏洞所需的 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
更新日期:2021-12-22:下一部分中的 GKE 命令应使用 gcloud beta 而不是 gcloud 命令。gcloud beta container clusters update –no-enable-service-externalips 更新日期:2021-12-15:对于 GKE,以下缓解措施现已发布:
如需了解详情,请参阅强化集群的安全性。 Kubernetes 项目最近发现新的安全漏洞 CVE-2020-8554,它可能允许已获得创建 LoadBalancer 或 ClusterIP 类型的 Kubernetes Service 的权限的攻击者拦截来自集群中其他 pod 的网络流量。 此漏洞本身不会给予攻击者创建 Kubernetes 服务的权限。 所有 GKE on AWS 都会受到此漏洞的影响。 该怎么做?Kubernetes 可能需要在未来版本中进行向后不兼容的设计更改,以解决该漏洞。 如果许多用户共享集群的访问权限并具有创建 Service 的权限(例如在一个多租户集群中),请考虑同时应用缓解措施。目前,最好的缓解方法是限制 ExternalIP 在集群中的使用。ExternalIP 不是常用功能。 通过以下任一方法限制 ExternalIP 在集群中的使用:
如 Kubernetes 公告中所述,不会为 LoadBalancer 类型的 Service 的提供缓解措施,因为默认情况下,仅高权限用户和系统组件会被授予利用此漏洞所需的 |
中 |
GCP-2020-014
发布日期:2020-10-20参考编号:CVE-2020-8563、CVE-2020-8564、CVE-2020-8565、CVE-2020-8566
GKE
更新日期:2020-10-20
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 项目最近发现了多个问题,这些问题导致在启用详细日志记录选项时 Secret 数据泄露。这些问题包括:
GKE 不受影响。 该怎么做?由于 GKE 的默认详细日志记录级别,无需执行任何进一步操作。 |
无 |
在以下位置上的 GKE 集群
更新日期:2020-10-10
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 项目最近发现了多个问题,这些问题导致在启用详细日志记录选项时 Secret 数据泄露。这些问题包括:
GKE on VMware 不受影响。 该怎么做?由于 GKE 的默认详细日志记录级别,无需执行任何进一步操作。 |
无 |
在以下位置上的 GKE 集群
更新日期:2020-10-20
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 项目最近发现了多个问题,这些问题导致在启用详细日志记录选项时 Secret 数据泄露。这些问题包括:
GKE on AWS 不受影响。 该怎么做?由于 GKE 的默认详细日志记录级别,无需执行任何进一步操作。 |
无 |
GCP-2020-012
发布日期:2020-09-14参考编号:CVE-2020-14386
GKE
| 说明 | 严重程度 |
|---|---|
|
近期在 Linux 内核中发现了一个漏洞(如 CVE-2020-14386 中所述),该漏洞可能会允许容器逃逸,从而获得主机节点上的 root 权限。 所有 GKE 节点都会受到影响。在 GKE Sandbox 中运行的 pod 无法利用此漏洞。 该怎么做?要修复此漏洞,请将控制平面和节点先后升级到下面列出的某个修补后的版本:
利用此漏洞需要 可以使用以下方法之一从容器中删除
该补丁程序解决了哪一漏洞?该补丁程序解决了以下漏洞: 漏洞 CVE-2020-14386,该漏洞允许具有 |
高 |
在以下位置上的 GKE 集群
更新日期:2020-09-17
| 说明 | 严重程度 |
|---|---|
|
近期在 Linux 内核中发现了一个漏洞(如 CVE-2020-14386 中所述),该漏洞可能会允许容器逃逸,从而获得主机节点上的 root 权限。 所有 GKE on VMware 节点都会受到影响。 该怎么做?要修复此漏洞,请将集群升级到修补后的版本。以下即将发布的 {gke_on_prem_name}} 版本将包含针对此漏洞的修补程序,在这些版本发布后,本公告会进行更新:
利用此漏洞需要 可以使用以下方法之一从容器中删除
该补丁程序解决了哪一漏洞?该补丁程序解决了以下漏洞: 漏洞 CVE-2020-14386,该漏洞允许具有 |
高 |
在以下位置上的 GKE 集群
更新日期:2020-10-13
| 说明 | 严重程度 |
|---|---|
|
近期在 Linux 内核中发现了一个漏洞(如 CVE-2020-14386 中所述),该漏洞可能会允许容器逃逸,从而获得主机节点上的 root 权限。 所有 GKE on AWS 节点都会受到影响。 该怎么做?要修复此漏洞,请将管理服务和用户集群升级到修补后的版本。以下即将发布的 GKE on AWS 版本或更高版本将包含针对此漏洞的修补程序,在这些版本发布后,本公告会进行更新:
可以使用以下方法之一从容器中删除
该补丁程序解决了哪一漏洞?该补丁程序解决了以下漏洞: 漏洞 CVE-2020-14386,该漏洞允许具有 |
高 |
GCP-2020-011
发布日期:2020-07-24参考编号:CVE-2020-8558
GKE
| 说明 | 严重程度 |
|---|---|
|
最近在 Kubernetes 中发现了一个网络漏洞 CVE-2020-8558。服务有时会使用本地环回接口 (127.0.0.1) 与同一 pod 中运行的其他应用通信。利用此漏洞,有权访问集群网络的攻击者能够将流量发送到相邻 pod 和节点的环回接口。如果服务依赖于无法在其 pod 之外访问的环回接口,则攻击者可以利用这些服务。 要在 GKE 集群上利用此漏洞,攻击者需要拥有托管集群 VPC 的 Google Cloud 的网络管理员权限。此漏洞本身并不会授予攻击者网络管理员权限。因此,对于 GKE,此漏洞的严重级别分配为低。 该怎么做?要修复此漏洞,请将集群的节点池升级到以下 GKE 版本(及更高版本):
该补丁程序解决了哪一漏洞?此补丁程序修复了以下漏洞:CVE-2020-8558。 |
低 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
最近在 Kubernetes 中发现了一个网络漏洞 CVE-2020-8558。服务有时会使用本地环回接口 (127.0.0.1) 与同一 pod 中运行的其他应用通信。利用此漏洞,有权访问集群网络的攻击者能够将流量发送到相邻 pod 和节点的环回接口。如果服务依赖于无法在其 pod 之外访问的环回接口,则攻击者可以利用这些服务。 该怎么做?如需修复此漏洞,请将您的集群升级到修补后的版本。以下即将推出的 GKE on VMware 版本或更新版本包含针对此漏洞的修补程序:
该补丁程序解决了什么漏洞?此补丁程序修复了以下漏洞:CVE-2020-8558。 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
最近在 Kubernetes 中发现了一个网络漏洞 CVE-2020-8558。服务有时会使用本地环回接口 (127.0.0.1) 与同一 pod 中运行的其他应用通信。利用此漏洞,有权访问集群网络的攻击者能够将流量发送到相邻 pod 和节点的环回接口。如果服务依赖于无法在其 pod 之外访问的环回接口,则攻击者可以利用这些服务。 在用户集群上利用此漏洞需要攻击者在集群中的 EC2 实例上停用源目标检查。这要求攻击者拥有对 EC2 实例上的 该怎么做?如需修复此漏洞,请将您的集群升级到修补后的版本。以下即将推出的 GKE on AWS 版本或更高版本应该会包含针对此漏洞的修补程序:
该补丁程序解决了什么漏洞?此补丁程序修复了以下漏洞:CVE-2020-8558。 |
低 |
GCP-2020-009
发布日期:2020-07-15参考编号:CVE-2020-8559
GKE
| 说明 | 严重程度 |
|---|---|
|
最近在 Kubernetes 中发现了一个提权漏洞 CVE-2020-8559。利用此漏洞,已破解节点的攻击者能够在集群中的任何 pod 中执行命令。因此,攻击者可以使用已被破解的节点来破解其他节点并且可能读取信息,或者导致破坏性操作。 请注意,集群中的某个节点必须已被破解,攻击者才能利用此漏洞。此漏洞本身不会破解集群中的任何节点。 该怎么做?将集群升级到修补后的版本。集群将在接下来的几周内自动升级,修补后的版本已在 2020 年 7 月 19 日之前提供,以加快手动升级计划速度。以下 GKE 控制平面版本或更新版本包含针对此漏洞的修复:
该补丁程序解决了哪一漏洞?这些补丁程序解决了漏洞 CVE-2020-8559。此漏洞被评为 GKE 的中危漏洞,因为除了现有已遭破解的节点之外,攻击者还需要拥有集群、节点和工作负载的第一手信息,才能有效利用此攻击。此漏洞本身不会为攻击者提供已遭破解的节点。 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
最近在 Kubernetes 中发现了一个提权漏洞 CVE-2020-8559。利用此漏洞,已破解节点的攻击者能够在集群中的任何 pod 中执行命令。因此,攻击者可以使用已被破解的节点来破解其他节点并且可能读取信息,或者导致破坏性操作。 请注意,集群中的某个节点必须已被破解,攻击者才能利用此漏洞。此漏洞本身不会破解集群中的任何节点。 该怎么做?将集群升级到修补后的版本。以下即将发布的 GKE on VMware 版本或更高版本包含针对此漏洞的修补程序:
该补丁程序解决了哪一漏洞?这些补丁程序解决了漏洞 CVE-2020-8559。此漏洞被评为 GKE 的中危漏洞,因为除了现有已遭破解的节点之外,攻击者还需要拥有集群、节点和工作负载的第一手信息,才能有效利用此攻击。此漏洞本身不会为攻击者提供已遭破解的节点。 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
最近在 Kubernetes 中发现了一个提权漏洞 CVE-2020-8559。利用此漏洞,已破解节点的攻击者能够在集群中的任何 pod 中执行命令。因此,攻击者可以使用已被破解的节点来破解其他节点并且可能读取信息,或者导致破坏性操作。 请注意,集群中的某个节点必须已被破解,攻击者才能利用此漏洞。此漏洞本身不会破解集群中的任何节点。 该怎么做?GKE on AWS GA 1.4.1 将于 2020 年 7 月底发布,该版本及更高版本包含针对此漏洞的补丁程序。如果您使用的是以前的版本,请下载新版本的 anthos-gke 命令行工具,并重新创建管理和用户集群。 该补丁程序解决了哪一漏洞?这些补丁程序解决了漏洞 CVE-2020-8559。此漏洞被评为 GKE 的中危漏洞,因为除了现有已遭破解的节点之外,攻击者还需要拥有集群、节点和工作负载的第一手信息,才能有效利用此攻击。此漏洞本身不会为攻击者提供已遭破解的节点。 |
中 |
GCP-2020-007
发布日期:2020-06-01参考编号:CVE-2020-8555
GKE
| 说明 | 严重程度 |
|---|---|
|
近期在 Kubernetes 中发现了一个服务器端请求伪造 (SSRF) 漏洞 (CVE-2020-8555),该漏洞会导致某些已获授权的用户从控制平面主机网络中泄露多达 500 字节的敏感信息。Google Kubernetes Engine (GKE) 控制层面会使用 Kubernetes 中的控制器,因此会受到此漏洞的影响。 我们建议您将控制平面升级到最新的补丁程序版本,具体说明如下所述。节点不需要升级。 该怎么做?大多数客户无需执行任何额外操作。绝大多数集群已在运行修补版本。 以下 GKE 版本或更高版本包含针对此漏洞的修补程序:
使用发布渠道的集群已在采取了缓解措施的控制平面版本上运行。 该补丁程序解决了哪一漏洞?这些补丁程序解决了漏洞 CVE-2020-8555。此漏洞被评为 GKE 的中危漏洞,由于各种控制平面安全强化措施的实施而很难被利用。 有权创建内置了卷类型(GlusterFS、Quobyte、StorageFS、ScaleIO)的 Pod 的攻击者或有权创建 StorageClass 的攻击者可以使 如果与重新向攻击者泄露 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
近期在 Kubernetes 中发现了一个服务器端请求伪造 (SSRF) 漏洞 (CVE-2020-8555),该漏洞会导致某些已获授权的用户从控制平面主机网络中泄露多达 500 字节的敏感信息。Google Kubernetes Engine (GKE) 控制层面会使用 Kubernetes 中的控制器,因此会受到此漏洞的影响。 我们建议您将控制平面升级到最新的补丁程序版本,具体说明如下所述。节点不需要升级。 该怎么做?以下 GKE on VMware 版本或更高版本包含针对此漏洞的修补程序:
如果您使用的是以前的版本,请将现有集群升级到包含该修复的版本。 该补丁程序解决了哪一漏洞?这些补丁程序解决了漏洞 CVE-2020-8555。此漏洞被评为 GKE 的中危漏洞,由于各种控制平面安全强化措施的实施而很难被利用。 有权创建内置了卷类型(GlusterFS、Quobyte、StorageFS、ScaleIO)的 Pod 的攻击者或有权创建 StorageClass 的攻击者可以使 如果与重新向攻击者泄露 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
近期在 Kubernetes 中发现了一个服务器端请求伪造 (SSRF) 漏洞 (CVE-2020-8555),该漏洞会导致某些已获授权的用户从控制平面主机网络中泄露多达 500 字节的敏感信息。Google Kubernetes Engine (GKE) 控制层面会使用 Kubernetes 中的控制器,因此会受到此漏洞的影响。 我们建议您将控制平面升级到最新的补丁程序版本,具体说明如下所述。节点不需要升级。 该怎么做?GKE on AWS v0.2.0 或更高版本包括针对此漏洞的补丁程序。如果您使用的是以前的版本,请下载新版本的 anthos-gke 命令行工具,并重新创建管理集群和用户集群。 该补丁程序解决了哪一漏洞?这些补丁程序解决了漏洞 CVE-2020-8555。此漏洞被评为 GKE 的中危漏洞,由于各种控制平面安全强化措施的实施而很难被利用。 有权创建内置了卷类型(GlusterFS、Quobyte、StorageFS、ScaleIO)的 Pod 的攻击者或有权创建 StorageClass 的攻击者可以使 如果与重新向攻击者泄露 |
中 |
GCP-2020-006
发布日期:2020-06-01参考编号:Kubernetes 问题 91507
GKE
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 披露了一个漏洞,该漏洞允许特权容器将节点流量重定向至其他容器。此攻击无法读取或修改双向 TLS/SSH 流量(例如 kubelet 与 API 服务器之间)或来自使用 mTLS 的应用的流量。所有 Google Kubernetes Engine (GKE) 节点都会受到此漏洞的影响,我们建议您升级到最新的补丁程序版本,具体说明如下所述。 该怎么做?要解决此漏洞,请升级您的控制平面,然后将您的节点升级为下面列出的一个修补版本。使用发布渠道的集群已同时在控制平面和节点上运行修补版本:
通常,很少有容器需要 可以使用以下方法之一从容器中删除
该补丁程序解决了哪一漏洞?该补丁程序解决了以下漏洞: Kubernetes 问题 91507 中所述的漏洞 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 披露了一个漏洞,该漏洞允许特权容器将节点流量重定向至其他容器。此攻击无法读取或修改双向 TLS/SSH 流量(例如 kubelet 与 API 服务器之间)或来自使用 mTLS 的应用的流量。所有 Google Kubernetes Engine (GKE) 节点都会受到此漏洞的影响,我们建议您升级到最新的补丁程序版本,具体说明如下所述。 该怎么做?如需缓解 GKE on VMware 的此漏洞所带来的影响,请将集群升级到以下版本或更新版本:
通常,很少有容器需要 可以使用以下方法之一从容器中删除
该补丁程序解决了哪一漏洞?该补丁程序解决了以下漏洞: Kubernetes 问题 91507 中所述的漏洞 |
中 |
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 披露了一个漏洞,该漏洞允许特权容器将节点流量重定向至其他容器。此攻击无法读取或修改双向 TLS/SSH 流量(例如 kubelet 与 API 服务器之间)或来自使用 mTLS 的应用的流量。所有 Google Kubernetes Engine (GKE) 节点都会受到此漏洞的影响,我们建议您升级到最新的补丁程序版本,具体说明如下所述。 该怎么做?下载以下版本或更高版本的 anthos-gke 命令行工具,然后重新创建管理集群和用户集群:
通常,很少有容器需要 可以使用以下方法之一从容器中删除
该补丁程序解决了哪一漏洞?该补丁程序解决了以下漏洞: Kubernetes 问题 91507 中所述的漏洞 |
中 |
GCP-2020-005
发布日期:2020-05-07更新日期:2020-05-07
参考编号:CVE-2020-8835
GKE
| 说明 | 严重程度 |
|---|---|
|
近期在 Linux 内核中发现了一个漏洞(如 CVE-2020-8835 中所述),该漏洞允许容器逃逸,从而获得主机节点上的 root 权限。 运行 GKE 1.16 或 1.17 版本的 Google Kubernetes Engine (GKE) Ubuntu 节点均受此漏洞影响,我们建议您按照下文详述的方法,尽快升级到最新补丁程序版本。 运行 Container-Optimized OS 的节点不受影响。在 GKE on VMware 上运行的节点不受影响。 该怎么做?大多数客户无需执行任何额外操作。只有使用 GKE 1.16 或 1.17 版本且运行 Ubuntu 的节点会受到影响。 若要升级节点,您必须先将主实例升级到最新版本。Kubernetes 1.16.8-gke.12、1.17.4-gke.10 及更新的版本中提供了该补丁程序。在版本说明中可以跟踪这些补丁程序的提供情况。 该补丁程序解决了哪一漏洞?该补丁程序解决了以下漏洞: CVE-2020-8835 描述了 Linux 内核 5.5.0 版本及更新版本中的一个漏洞,该漏洞允许恶意容器(只需极少的用户互动,执行一次 exec 即可触发)读写内核内存,从而获得主机节点上的 root 级代码执行权限。此漏洞的严重级别分级为“高”。 |
高 |
GCP-2020-004
发布日期:2020-05-07更新日期:2020-05-07
参考编号:CVE-2019-11254
在以下位置上的 GKE 集群
| 说明 | 严重程度 |
|---|---|
|
近期在 Kubernetes 中发现了一个漏洞(如 CVE-2019-11254 中所述),该漏洞导致任何有权发出 POST 请求的用户都可以对 Kubernetes API 服务器执行远程拒绝服务攻击。Kubernetes 产品安全委员会 (PSC) 已经发布了有关此漏洞的更多信息,详见此处。 您可以通过限制哪些客户端能够经由网络访问您的 Kubernetes API 服务器来缓解此漏洞。 该怎么做?我们建议您尽快将集群升级为包含此漏洞修复的补丁程序版本。 下面列出了包含此修复的补丁程序版本:
该补丁解决了哪些漏洞?该补丁程序修复了以下拒绝服务攻击 (DoS) 漏洞: |
中 |
GCP-2020-003
发布日期:2020-03-31更新日期:2020-03-31
参考编号:CVE-2019-11254
GKE
| 说明 | 严重程度 |
|---|---|
|
近期在 Kubernetes 中发现了一个漏洞(如 CVE-2019-11254 中所述),该漏洞导致任何有权发出 POST 请求的用户都可以对 Kubernetes API 服务器执行远程拒绝服务攻击。Kubernetes 产品安全委员会 (PSC) 已经发布了有关此漏洞的更多信息,详见此处。 使用主授权网络的 GKE 集群和无公共端点的专用集群可缓解此漏洞。 该怎么做?建议您将集群升级为包含针对此漏洞的修补程序的版本。 下面列出了包含此修复的补丁程序版本:
该补丁解决了哪些漏洞?该补丁程序修复了以下拒绝服务攻击 (DoS) 漏洞: |
中 |
GCP-2020-002
发布日期:2020-03-23更新日期:2020-03-23
参考编号:CVE-2020-8551、CVE-2020-8552
GKE
| 说明 | 严重程度 |
|---|---|
|
Kubernetes 披露了两个拒绝服务攻击漏洞,一个影响 API 服务器,另一个影响 Kubelet。如需了解详情,请参阅 Kubernetes 问题 89377 和 89378。 该怎么做?所有 GKE 用户均已受到针对 CVE-2020-8551 的保护,唯一有风险的情况就是不受信任的用户能从集群的内部网络中发送请求。使用主授权网络可针对 CVE-2020-8552 提供额外的缓解措施。 何时会推出针对这些漏洞的补丁程序?针对 CVE-2020-8551 的补丁程序要求进行节点升级。下面列出了将包含缓解措施的补丁程序版本:
针对 CVE-2020-8552 的补丁程序需要进行主节点升级。下面列出了将包含缓解措施的补丁程序版本:
|
中 |
GCP-january_21_2020
发布日期:2020-01-21更新日期:2020-01-24
参考编号:CVE-2019-11254
GKE
| 说明 | 严重程度 |
|---|---|
|
2020 年 1 月 24 日更新:我们正在推出修补版本,此过程将在 2020 年 1 月 25 日完成。 Microsoft 披露了 Windows Crypto API 及其对椭圆曲线签名的验证中的一个漏洞。如需了解详情,请参阅 Microsoft 披露信息。 该怎么做? 大多数客户无需执行任何额外操作。只有运行 Windows Server 的节点会受影响。 对使用 Windows Server 节点的客户而言,节点以及在这些节点上运行的容器化工作负载都必须更新到修补版本以缓解此漏洞。 如需更新容器,请执行以下操作: 使用 Microsoft 的最新基础容器映像重新构建容器,请选择上次更新时间为 2020 年 1 月 14 日或更晚日期的 servercore 或 nanoserver 标记。 如需更新节点,请执行以下操作: 我们正在推出修补版本,此过程将在 2020 年 1 月 24 日完成。 届时,您可以将节点升级为 GKE 修补版本,也可以随时使用 Windows 更新手动部署最新的 Windows 补丁程序。 下面列出了将包含缓解措施的补丁程序版本:
该补丁解决了哪些漏洞? 该补丁程序缓解了以下漏洞: CVE-2020-0601 - 此漏洞又称为 Windows Crypto API 仿冒漏洞,攻击者可以利用此漏洞将恶意可执行文件伪装成受信任的程序,或者发动中间人攻击并解密与受影响软件的 TLS 连接相关的机密信息。 |
NVD 基本得分:8.1(高) |
已归档的安全公告
如需查看 2020 年之前的安全公告,请参阅安全公告归档。