Sicherheitsbulletins


Auf dieser Seite werden alle Sicherheitsbulletins für die folgenden Produkte beschrieben:

  • Google Kubernetes Engine (GKE)
  • Google Distributed Cloud (nur Software) auf VMware
  • GKE on AWS
  • GKE on Azure
  • Google Distributed Cloud (nur Software) auf Bare Metal

Sicherheitslücken werden häufig geheim gehalten, bis die betroffenen Parteien die Möglichkeit hatten, sie zu beheben. In diesen Fällen wird in den Versionshinweisen von "Security Updates" (Sicherheitsupdates) gesprochen, bis die Geheimhaltungsverpflichtung aufgehoben wurde. Sobald dies geschehen ist, werden die Hinweise mit Informationen über die durch den Patch behobene Sicherheitslücke aktualisiert.

Wenn GKE ein Sicherheitsbulletin ausgibt, das sich direkt auf Ihre Clusterkonfiguration oder -version bezieht, senden wir Ihnen möglicherweise eine SecurityBulletinEvent-Clusterbenachrichtigung mit Informationen über die Sicherheitslücke und Maßnahmen, die Sie gegebenenfalls ergreifen können. Informationen zum Einrichten von Clusterbenachrichtigungen finden Sie unter Clusterbenachrichtigungen.

Weitere Informationen dazu, wie Google Sicherheitslücken und Patches für GKE und GKE Enterprise verwaltet, finden Sie unter Sicherheitspatches.

GKE- und GKE Enterprise-Plattformen verwenden keine Komponenten wie ingress-nginx und die CRI-O-Containerlaufzeit und sind von Sicherheitslücken in diesen Komponenten nicht betroffen. Lesen Sie die Sicherheitsupdates und Patchpatches für diese Komponenten an der Quelle, wenn Sie Komponenten aus anderen Quellen installieren.

Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren.

GCP-2025-003

Veröffentlicht: 09.01.2025
Referenz: CVE-2024-50264

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-50264

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.16-gke.2081000
  • 1.28.15-gke.1480000
  • 1.29.12-gke.1055000
  • 1.30.8-gke.1051000
  • 1.31.4-gke.1072000
  • 1.32.0-gke.1448000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-50264

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-50264

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-50264

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-50264

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2025-002

Veröffentlicht: 09.01.2025
Referenz: CVE-2024-53057

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-53057

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.16-gke.1836000
  • 1.28.15-gke.1342000
  • 1.29.11-gke.1012000
  • 1.30.7-gke.1077000
  • 1.31.3-gke.1056000
  • 1.32.0-gke.1448000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-53057

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-53057

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-53057

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-53057

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2025-001

Veröffentlicht: 08.01.2025
Aktualisiert: 08.01.2025
Referenz:

Update vom 08.01.2025 : Startdatum und -uhrzeit des Problems korrigiert.

GKE

Aktualisiert : 08.01.2025

Beschreibung Schweregrad

Update vom 08.01.2025:Das tatsächliche Startdatum und die tatsächliche Startzeit des Problems waren der 04.12.2024 um 22:47 Uhr (UTC).


Am 08.12.2024 um 13:44 Uhr (UTC) trat ein Sicherheitsproblem auf, das am 04.01.2025 um 04:00 Uhr (UTC) behoben wurde. Dieses Sicherheitsproblem wirkte sich auf Ressourcen in VPCs aus, in denen ein GKE Multi-Cluster-Gateway (MCG) konfiguriert war. MCG ist eine optionale Funktion, die von einer kleinen Gruppe von GKE-Kunden verwendet wird. Wir benachrichtigen Kunden, die die Funktion in diesem Zeitraum aktiviert hatten, einzeln.

Multi-Cluster-Gateway (MCG) ist eine GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können. Um diese Funktion auszuführen, muss MCG Änderungen an der Google Cloud -Firewall auf Projektebene vornehmen. Ein Fehler in MCG führte zum Erstellen einer Firewallregel für eingehenden Traffic, die TCP-Traffic zu allen IP-Adressen (0.0.0.0/0) und Ports innerhalb des VPC zulässt. Es wurden Maßnahmen ergriffen, um solche Fehler in Zukunft zu vermeiden.

Da die Firewall eine Zulassungsliste auf VPC-Ebene ist, waren die folgenden Arten von Ressourcen möglicherweise während des Zeitraums über das Netzwerk erreichbar:

  • Kundenanwendungen, die auf GKE-Arbeitsknoten ausgeführt werden und über öffentliche IP-Adressen zugänglich sind.
  • Kundenanwendungen, die auf Compute Engine-VMs mit öffentlichen IP-Adressen ausgeführt werden
  • Alle anderen Google Cloud -Ressourcen im selben VPC wie der Cluster mit öffentlichen IP-Adressen und Listenern.

GKE-Arbeitsknoten, Compute Engine-VMs und andere Ressourcen, die nur private IP-Adressen verwenden, waren möglicherweise innerhalb ihres VPC allgemein zugänglich, aber nicht über das Internet. Bei Anwendungen, die durch die folgenden Mechanismen geschützt sind, wäre das Risiko reduziert oder beseitigt worden:

  • DENY-Firewallregeln mit gleicher oder höherer Priorität (MCG legt die Priorität von Firewallregeln standardmäßig auf 1.000 fest)
  • Service Mesh mit identitätsbasierter Autorisierung
  • Autorisierung auf Anwendungsebene

Betroffene Ressourcen

Betroffen waren Ressourcen in VPCs, in denen GKE MCG konfiguriert und auf öffentliche IP-Adressen lauschte. Zu den betroffenen Ressourcen gehören unter anderem Anwendungen, die auf GKE-Arbeitsknoten ausgeführt werden.

Wie gehe ich am besten vor?

Das Problem wurde für alle betroffenen VPCs behoben, indem die fehlerhafte Firewallkonfiguration korrigiert wurde. Die fälschlicherweise erstellten Regeln wurden automatisch mit den entsprechenden Quellbereichen (130.211.0.0/22, 35.191.0.0/16) geändert, um den eingehenden Traffic von der Google Cloud -Systemdiagnoseinfrastruktur und optional von Ihren Nur-Proxy-Subnetzbereichen für interne Gateways zuzulassen. Weitere Informationen zu den von MCG automatisch in Ihren Projekten erstellten Firewallregeln finden Sie unter GKE-Gateway-Firewallregeln.

Sie können die Behebung optional bestätigen, indem Sie die verwalteten Firewallregeln in VPCs mit GKE MCG prüfen. Prüfen Sie, ob für verwaltete Firewallregeln mit dem Präfix gkemcg1-l7- ein Quellbereich festgelegt ist. Prüfen Sie diese Regeln und prüfen Sie, ob ein Quellbereich festgelegt ist.

Führen Sie den folgenden Befehl aus, um die von MCG verwalteten Firewallregeln in Ihrer aktuellen Umgebung aufzulisten:

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

Wenn Sie in Logs nach Aktualisierungen der von MCG verwalteten Firewallkonfigurationen suchen möchten, verwenden Sie den Log-Explorer mit der folgenden Abfrage:

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

Wenn Sie die von MCG verwalteten Firewallregeln in Ihrer Organisation auflisten möchten, führen Sie den folgenden Befehl aus, um Cloud Asset Inventory abzufragen:

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

Die folgenden zusätzlichen Kontrollen bieten einen umfassenden Schutz vor nicht vertrauenswürdigen Netzwerken und können zur Verbesserung der Sicherheitslage beitragen:

Wir empfehlen Ihnen, Konfigurationen und Protokolle zu überprüfen, um alle Anwendungen oder Dienste zu identifizieren, die im oben genannten Zeitraum möglicherweise offengelegt wurden, aber nicht hätten offengelegt werden sollen. Mit den folgenden Tools können Sie den eingehenden Traffic zu Ihren Ressourcen prüfen, die in Google Cloudausgeführt werden:

  • VPC-Flusslogs für Informationen zum Netzwerkdurchsatz und zur Leistung
  • Cloud Logging zum Suchen und Analysieren von Logging-Daten und Ereignissen aus Diensten und Anwendungen von Google Cloud , die zum Senden von Protokollen konfiguriert sind
  • Logging von Firewallregeln, um die Auswirkungen Ihrer Firewallregeln zu prüfen, zu überprüfen und zu analysieren
  • Security Command Center für Informationen zu Sicherheitsergebnissen, die auf verdächtige Netzwerkaktivitäten hinweisen
  • Ihre Anwendungsprotokolle
Hoch

GDC (VMware)

Beschreibung Schweregrad

Es wurde ein Sicherheitsproblem mit Multi-Cluster-Gateway (MCG) entdeckt, einer GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können.

GDC-Cluster (VMware) unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Keine

GKE on AWS

Beschreibung Schweregrad

Es wurde ein Sicherheitsproblem mit Multi-Cluster-Gateway (MCG) entdeckt, einer GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können.

GKE on AWS-Cluster unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Keine

GKE on Azure

Beschreibung Schweregrad

Es wurde ein Sicherheitsproblem mit Multi-Cluster-Gateway (MCG) entdeckt, einer GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können.

GKE on Azure-Cluster unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Keine

GDC (Bare Metal)

Beschreibung Schweregrad

Es wurde ein Sicherheitsproblem mit Multi-Cluster-Gateway (MCG) entdeckt, einer GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können.

GDC-Cluster (Bare Metal) unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Keine

GCP-2024-062

Veröffentlicht: 02.12.2024
Aktualisiert: 12.12.2024
Referenz: CVE-2024-46800

Aktualisierung vom 12.12.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert: 12.12.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-46800

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 12.12.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.28.15-gke.1342000
  • 1.29.10-gke.1280000
  • 1.30.6-gke.1596000
  • 1.31.3-gke.1023000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1217000
  • 1.29.9-gke.1496000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-46800

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-46800

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-46800

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-46800

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-061

Veröffentlicht: 25. 11. 2024
Referenz: CVE-2024-10220

GKE

Beschreibung Schweregrad

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Führen Sie ein Upgrade Ihres GKE-Cluster und Ihrer Knotenpools auf eine gepatchte Version durch. Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

Aus Sicherheitsgründen empfehlen wir, auch wenn die automatische Knotenaktualisierung aktiviert ist, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine gepatchte GKE-Version durchzuführen. Mit Release-Versionen von GKE können Sie Patches anwenden, ohne das Abo eines Kanals kündigen oder die Release-Version ändern zu müssen. So können Sie Ihren Cluster und Ihre Knoten sichern, bevor die neue Version in der ausgewählten Release-Version zur Standardversion wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2024-10220 kann ein Angreifer einen Pod erstellen und ein gitRepo-Volume zuordnen, um beliebige Befehle über die Containergrenze hinweg auszuführen.

Hoch

GDC (VMware)

Beschreibung Schweregrad

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Hoch

GKE on AWS

Beschreibung Schweregrad

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Hoch

GKE on Azure

Beschreibung Schweregrad

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Hoch

GDC (Bare Metal)

Beschreibung Schweregrad

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Hoch

GCP-2024-057

Veröffentlicht: 03.10.2024
Aktualisiert: 19.11.2024
Referenz: CVE-2024-45016

Aktualisierung vom 19.11.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Aktualisierung vom 15. Oktober 2024 : Patchversionen für GDC (VMware) wurden hinzugefügt. Die GDC-Schwere (VMware) wurde von „Ausstehend“ auf „Mittel“ aktualisiert. Der GKE-Schweregrad wurde von „Hoch“ auf „Mittel“ aktualisiert.

GKE

Aktualisiert: 19.11.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-45016

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. November 2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1784000
  • 1.28.15-gke.1080000
  • 1.29.10-gke.1155000
  • 1.30.6-gke.1059000
  • 1.31.2-gke.1354000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.16-gke.1478000
  • 1.28.14-gke.1099000
  • 1.29.9-gke.1177000
  • 1.30.5-gke.1145000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Mittel

GDC (VMware)

Aktualisiert: 15.10.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-45016

Wie gehe ich am besten vor?

Aktualisierung vom 15.10.2024:Die folgenden Versionen von GDC (VMware) wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Cluster (VMware) auf eine der folgenden Versionen oder höher durch:

  • 1.30.100-gke.96
  • 1.29.600-gke.109
  • 1.28.1000-gke.59

Mittel

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-45016

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-45016

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-45016

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-056

Veröffentlicht: 27.09.2024
Referenz: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177

GKE

Beschreibung Schweregrad

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

GKE verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GDC (VMware)

Beschreibung Schweregrad

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

Die GDC-Software für VMware verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GKE on AWS

Beschreibung Schweregrad

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

GKE on AWS verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GKE on Azure

Beschreibung Schweregrad

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

GKE on Azure verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GDC (Bare Metal)

Beschreibung Schweregrad

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GCP-2024-054

Veröffentlicht: 23.09.2024
Referenz: CVE-2024-5321

GKE

Beschreibung Schweregrad

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerprotokolle lesen und AUTHORITY\Authenticated Nutzer Containerprotokolle möglicherweise ändern können.

Alle Kubernetes-Umgebungen mit Windows-Knoten sind betroffen. Führen Sie kubectl get nodes -l kubernetes.io/os=windows aus, um zu prüfen, ob Windows-Knoten verwendet werden.

Betroffene GKE-Versionen

  • 1.27.15 und älter
  • 1.28.11 und älter
  • 1.29.6 und niedriger
  • 1.30.2 und früher

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Kanal wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Welche Sicherheitslücken werden behoben?

CVE-2024-5321

Mittel

GDC (VMware)

Beschreibung Schweregrad

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users Containerprotokolle möglicherweise gelesen und AUTHORITY\Authenticated Containerprotokolle möglicherweise von Nutzern geändert werden können.

Alle Kubernetes-Umgebungen mit Windows-Knoten sind betroffen. Führen Sie kubectl get nodes -l kubernetes.io/os=windows aus, um zu prüfen, ob Windows-Knoten belegt sind.

Wie gehe ich am besten vor?

Patchversionen für die GDC-Software für VMware sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden behoben?

CVE-2024-5321

Mittel

GKE on AWS

Beschreibung Schweregrad

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem festgestellt, bei dem BUILTIN\Users Containerprotokolle möglicherweise gelesen und AUTHORITY\Authenticated Containerprotokolle möglicherweise von Nutzern geändert werden können.

GKE on AWS-Cluster unterstützen keine Windows-Knoten und sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GKE on Azure

Beschreibung Schweregrad

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem festgestellt, bei dem BUILTIN\Users Containerprotokolle möglicherweise gelesen und AUTHORITY\Authenticated Containerprotokolle möglicherweise von Nutzern geändert werden können.

GKE on Azure-Cluster unterstützen keine Windows-Knoten und sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GDC (Bare Metal)

Beschreibung Schweregrad

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem festgestellt, bei dem BUILTIN\Users Containerprotokolle möglicherweise gelesen und AUTHORITY\Authenticated Containerprotokolle möglicherweise von Nutzern geändert werden können.

GDC-Software für Bare-Metal-Cluster unterstützt keine Windows-Knoten und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GCP-2024-050

Veröffentlicht: 04.09.2024
Referenz: CVE-2024-38063

GKE

Beschreibung Schweregrad

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE unterstützt IPv6 unter Windows nicht und ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

Keine

GDC (VMware)

Beschreibung Schweregrad

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

Die GDC-Software für VMware unterstützt IPv6 unter Windows nicht und ist von dieser CVE nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on AWS

Beschreibung Schweregrad

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE on AWS ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Azure

Beschreibung Schweregrad

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE on Azure ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

Keine

GDC (Bare Metal)

Beschreibung Schweregrad

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GDC (Bare Metal) ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

Keine

GCP-2024-049

Veröffentlicht: 21.08.2024
Aktualisiert: 01.11.2024
Referenz: CVE-2024-36978

Aktualisierung vom 01.11.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

21.10.2024 – Update: Patchversionen wurden hinzugefügt und die Schwere für GDC (VMware) aktualisiert.

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36978

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 01.11.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert: 21.10.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36978

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.28.1100-gke.91
  • 1.30.200-gke.101
  • 1.29.600-gke.109

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36978

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36978

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36978

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-048

Veröffentlicht: 20.08.2024
Aktualisiert: 30.10.2024
Referenz: CVE-2024-41009

Aktualisierung vom 30.10.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

25.10.2024 – Update: Patchversionen wurden hinzugefügt und die Schwere für GDC (VMware) aktualisiert.

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-41009

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert: 25.10.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-41009

Wie gehe ich am besten vor?

Aktualisierung vom 25.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.29.700-gke.110
  • 1.28.1100-gke.91
  • 1.30.200-gke.101

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-41009

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-41009

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-41009

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-047

Veröffentlicht: 19.08.2024
Aktualisiert: 30.10.2024
Referenz: CVE-2024-39503

Aktualisierung vom 30.10.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

21.10.2024 – Update: Patchversionen wurden hinzugefügt und die Schwere für GDC (VMware) aktualisiert.

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-39503

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.15-gke.1125000
  • 1.28.11-gke.1170000
  • 1.29.6-gke.1137000
  • 1.30.3-gke.1225000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert: 21.10.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-39503

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.30.200-gke.101
  • 1.29.600-gke.109
  • 1.28.1100-gke.91

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-39503

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-39503

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-39503

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-045

Veröffentlicht: 17.07.2024
Aktualisiert: 19.09.2024
Referenz: CVE-2024-26925

Aktualisierung vom 19.09.2024 : Patchversionen für GDC (VMware) wurden hinzugefügt.

Aktualisierung vom 21.08.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert : 21. August 2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26925

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 21. August 2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert: 19.09.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26925

Wie gehe ich am besten vor?

Aktualisierung vom 19.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.29.400
  • 1.28.900

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26925

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26925

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26925

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-044

Veröffentlicht: 16.07.2024
Aktualisiert: 30.10.2024
Referenz: CVE-2024-36972

Aktualisierung vom 30.10.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

21.10.2024 – Update: Patchversionen wurden hinzugefügt und die Schwere für GDC (VMware) aktualisiert.

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36972

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert: 21.10.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36972

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.30.200-gke.101
  • 1.29.600-gke.109
  • 1.28.1100-gke.91

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36972

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36972

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-36972

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-043

Veröffentlicht: 16.07.2024
Aktualisiert: 02.10.2024
Referenz: CVE-2024-26921

Aktualisierung vom 02.10.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Aktualisierung vom 20.09.2024 : Patchversionen für GDC (VMware) wurden hinzugefügt.

GKE

Aktualisiert: 02.10.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26921

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 02.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1287000
  • 1.28.13-gke.1042000
  • 1.29.8-gke.1096000
  • 1.30.4-gke.1476000
  • 1.30.4-gke.1476000
  • 1.31.0-gke.1577000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert: 20.09.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26921

Wie gehe ich am besten vor?

Aktualisierung vom 20.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.30.200
  • 1.29.500
  • 1.28.1000

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26921

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26921

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-042

Veröffentlicht: 15.07.2024
Aktualisiert: 18.07.2024
Referenz: CVE-2024-26809

Update vom 18. Juli 2024 : Es wurde klargestellt, dass Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

GKE

Aktualisiert: 18.07.2024

Beschreibung Schweregrad

Update vom 18. Juli 2024 : In der ursprünglichen Version dieses Bulletins wurde fälschlicherweise angegeben, dass Autopilot-Cluster betroffen waren. Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder die CAP_NET_ADMIN-Funktion zulassen.


Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26809

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26809

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26809

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26809

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26809

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-041

Veröffentlicht: 08.07.2024
Aktualisiert: 16.09.2024
Referenz: CVE-2023-52654, CVE-2023-52656

Aktualisierung vom 16.09.2024 : Patchversionen für GDC (VMware) wurden hinzugefügt.

Aktualisierung vom 19. Juli 2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert: 19.07.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52654
  • CVE-2023-52656

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. Juli 2024 : Die folgenden GKE-Versionen enthalten Code, mit dem diese Sicherheitslücke unter Ubuntu behoben wird. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert : 16. September 2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52654
  • CVE-2023-52656

Wie gehe ich am besten vor?

Aktualisierung vom 16.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.29.200
  • 1.28.700
  • 1.16.11

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52654
  • CVE-2023-52656

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52654
  • CVE-2023-52656

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52654
  • CVE-2023-52656

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-040

Veröffentlicht: 01.07.2024
Aktualisiert: 11.07.2024
Referenz: CVE-2024-6387

Aktualisierung vom 11.07.2024 : Es wurden Patchversionen für die GDC-Software für VMware, GKE on AWS und GKE on Azure hinzugefügt.

Aktualisierung vom 03.07.2024 : Patchversionen für GKE wurden hinzugefügt

Aktualisierungen vom 2. Juli 2024 :

  • Es wurde klargestellt, dass Autopilot-Cluster betroffen sind und dass Nutzer Maßnahmen ergreifen müssen.
  • Es wurden Auswirkungen und Maßnahmen zur Risikobewältigung für GDC (VMware), GKE on AWS und GKE on Azure hinzugefügt.
  • Das Sicherheitsbulletin für GDC (Bare Metal) wurde korrigiert, um klarzustellen, dass GDC (Bare Metal) nicht direkt betroffen ist und dass Kunden bei den Betriebssystemanbietern nach Patches suchen sollten.

GKE

Aktualisiert: 03.07.2024

Beschreibung Schweregrad

Aktualisierung vom 03.07.2024 : Es ist ein beschleunigtes Roll-out in vollem Gange. Wir gehen davon aus, dass neue Patchversionen bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) in allen Zonen verfügbar sein werden. Wenn Sie benachrichtigt werden möchten, sobald ein Patch für Ihren Cluster verfügbar ist, verwenden Sie Clusterbenachrichtigungen.


Update vom 02.07.2024 : Diese Sicherheitslücke betrifft sowohl Cluster im Autopilot- als auch im Standardmodus. In den folgenden Abschnitten wird jeweils angegeben, für welche Modi die Informationen gelten.


Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Auf allen unterstützten Versionen von Container-Optimized OS- und Ubuntu-Images in GKE werden Versionen von OpenSSH ausgeführt, die für dieses Problem anfällig sind.

GKE-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.

Die GKE-Steuerungsebene ist nicht anfällig für dieses Problem.

Wie gehe ich am besten vor?

03.07.2024 – Update: Patchversionen für GKE

Die Einführung erfolgt beschleunigt. Neue Patchversionen werden voraussichtlich bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) in allen Zonen verfügbar sein.

Cluster und Knoten mit aktiviertem automatischen Upgrade werden im Laufe der Woche aktualisiert. Aufgrund der Schwere der Sicherheitslücke empfehlen wir jedoch, ein manuelles Upgrade wie unten beschrieben durchzuführen, um die Patches so schnell wie möglich zu erhalten.

Aktualisieren Sie sowohl Autopilot- als auch Standardcluster auf eine Version der Steuerungsebene mit Patch. Führen Sie bei Clustern im Standardmodus außerdem ein Upgrade Ihrer Knotenpools auf eine Patchversion aus. In Autopilot-Clustern werden Ihre Knoten so bald wie möglich auf die Version der Steuerungsebene aktualisiert.

Für jede unterstützte Version sind gepatchte GKE-Versionen verfügbar, um die für die Anwendung des Patches erforderlichen Änderungen zu minimieren. Die Versionsnummer jeder neuen Version ist eine Steigerung der letzten Ziffer in der Versionsnummer einer entsprechenden vorhandenen Version. Wenn Sie beispielsweise 1.27.14-gke.1100000 verwenden, führen Sie ein Upgrade auf 1.27.14-gke.1100002 aus, um die Fehlerbehebung mit möglichst wenigen Änderungen zu erhalten. Die folgenden gepatchten GKE-Versionen sind verfügbar:

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

Führen Sie den folgenden Befehl aus, um zu prüfen, ob ein Patch in Ihrer Clusterzone oder Region verfügbar ist:

gcloud container get-server-config --location=LOCATION

Ersetzen Sie LOCATION durch Ihre Zone oder Region.


Update vom 02.07.2024 : Sowohl Cluster im Autopilot-Modus als auch im Standardmodus sollten so bald wie möglich aktualisiert werden, nachdem Patchversionen verfügbar sind.


Eine gepatchte GKE-Version mit einem aktualisierten OpenSSH wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wenn Sie eine Pub/Sub-Benachrichtigung erhalten möchten, wenn ein Patch für Ihren Kanal verfügbar ist, aktivieren Sie Clusterbenachrichtigungen. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

Update vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot- als auch für Standardcluster.


Wenn ein Cluster mit enable-private-nodes erstellt wird, sind die Knoten privat. Dadurch wird die Sicherheitslücke geschlossen, da die Knoten nicht mehr dem Internet ausgesetzt sind. Führen Sie den folgenden Befehl aus, um festzustellen, ob für Ihren Cluster private Knoten aktiviert sind:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Wenn der Rückgabewert „True“ ist, sind alle Knoten private Knoten für diesen Cluster und die Sicherheitslücke wird geschlossen. Wenn der Wert leer oder falsch ist, fahren Sie mit einer der Abhilfemaßnahmen in den folgenden Abschnitten fort.

Wenn Sie alle Cluster finden möchten, die ursprünglich mit öffentlichen Knoten erstellt wurden, verwenden Sie diese Cloud Asset Inventory-Abfrage im Projekt oder in der Organisation:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Update vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot- als auch für Standardcluster.


Das Standardnetzwerk enthält bereits eine default-allow-ssh-Firewallregel, die den SSH-Zugriff aus dem öffentlichen Internet zulässt. So entfernen Sie diesen Zugriff:

  • Optional können Sie Regeln erstellen, um den erforderlichen SSH-Zugriff von vertrauenswürdigen Netzwerken auf GKE-Knoten oder andere Compute Engine-VMs im Projekt zuzulassen.
  • Deaktivieren Sie die Standard-Firewallregel mit dem folgenden Befehl:
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Wenn Sie andere Firewallregeln erstellt haben, die SSH über TCP auf Port 22 zulassen, deaktivieren Sie sie oder beschränken Sie die Quell-IPs auf vertrauenswürdige Netzwerke.

Prüfen Sie, ob Sie nicht mehr über das Internet eine SSH-Verbindung zu den Clusterknoten herstellen können. Diese Firewallkonfiguration verringert die Sicherheitslücke.

Öffentliche Knotenpools in private umwandeln

Update vom 02.07.2024 : Bei Autopilot-Clustern, die ursprünglich als öffentliche Cluster erstellt wurden, können Sie Ihre Arbeitslasten mithilfe von nodeSelectors auf privaten Knoten platzieren. Autopilot-Knoten, auf denen Systemarbeitslasten in Clustern ausgeführt werden, die ursprünglich als öffentliche Cluster erstellt wurden, sind jedoch weiterhin öffentliche Knoten und sollten mithilfe der im vorherigen Abschnitt beschriebenen Firewalländerungen geschützt werden.


Um Cluster, die ursprünglich mit öffentlichen Knoten erstellt wurden, bestmöglich zu schützen, empfehlen wir, SSH wie bereits beschrieben über die Firewall zu deaktivieren. Wenn Sie SSH nicht über die Firewallregeln deaktivieren können, können Sie öffentliche Knotenpools in GKE-Standardclustern in private Cluster umwandeln. Folgen Sie dazu dieser Anleitung zum Isolieren von Knotenpools.

SSHD-Konfiguration ändern

Update vom 02.07.2024 : Dieser Abschnitt gilt nur für Standardcluster. Autopilot-Arbeitslasten dürfen die Knotenkonfiguration nicht ändern.


Wenn keine dieser Maßnahmen angewendet werden kann, haben wir auch einen Daemon-Set veröffentlicht, mit dem SSHD LoginGraceTime auf null gesetzt und der SSH-Daemon neu gestartet wird. Dieser Daemon-Set kann auf den Cluster angewendet werden, um den Angriff abzuschwächen. Beachten Sie, dass diese Konfiguration das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit dem legitimen SSH-Zugriff verursachen kann. Dieser Daemon-Set sollte nach dem Anwenden eines Patches entfernt werden.

Kritisch

GDC (VMware)

Aktualisiert: 11.07.2024

Beschreibung Schweregrad

Aktualisierung vom 11.07.2024 : Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Administrator-Workstation, Administratorcluster und Nutzercluster (einschließlich Knotenpools) auf eine der folgenden Versionen oder höher durch. Eine Anleitung finden Sie unter Cluster oder Knotenpool aktualisieren.

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

In der Aktualisierung dieses Bulletins vom 02.07.2024 wurde fälschlicherweise angegeben, dass alle unterstützten Versionen von Ubuntu-Images auf GDC-Software für VMware Versionen von OpenSSH ausführen, die für dieses Problem anfällig sind. Auf Ubuntu-Images in der GDC-Software für VMware-Version 1.16-Cluster werden Versionen von OpenSSH ausgeführt, die nicht anfällig für dieses Problem sind. Ubuntu-Images in der GDC-Software für VMware 1.28 und 1.29 sind anfällig. Container-Optimized OS-Images auf allen unterstützten Versionen der GDC-Software für VMware sind anfällig für dieses Problem.


Aktualisierung vom 2. Juli 2024 : Alle unterstützten Versionen von Container-Optimized OS und Ubuntu-Images in der GDC-Software für VMware verwenden Versionen von OpenSSH, die für dieses Problem anfällig sind.

GDC-Software für VMware-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollte zur Risikominderung mit der höchsten Priorität behandelt werden.


Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GDC-Software für die VMware-Version, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen, die folgenden Maßnahmen zur Risikominderung bei Bedarf anzuwenden.

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Sie können die Netzwerkkonfiguration Ihrer Infrastruktur so ändern, dass SSH-Verbindungen von nicht vertrauenswürdigen Quellen wie dem öffentlichen Internet nicht zulässig sind.

SSHD-Konfiguration ändern

Wenn Sie die oben genannte Abhilfemaßnahme nicht anwenden können, haben wir einen DaemonSet veröffentlicht, mit dem der sshd LoginGraceTime auf null gesetzt und der SSH-Daemon neu gestartet wird. Dieser DaemonSet kann auf den Cluster angewendet werden, um den Angriff abzuschwächen. Beachten Sie, dass diese Konfiguration das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit legitimem SSH-Zugriff verursachen kann. Entfernen Sie dieses DaemonSet, nachdem ein Patch angewendet wurde.


Kritisch

GKE on AWS

Aktualisiert: 11.07.2024

Beschreibung Schweregrad

Aktualisierung vom 11.07.2024 : Die folgenden GKE on AWS-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Führen Sie ein Upgrade der GKE on AWS-Steuerungsebene und der Knotenpools auf eine dieser Versionen mit Patches oder höher durch. Eine Anleitung finden Sie unter AWS-Clusterversion upgraden und Knotenpool aktualisieren.


Aktualisierung vom 02.07.2024 : Auf allen unterstützten Versionen von Ubuntu-Images in GKE on AWS werden Versionen von OpenSSH ausgeführt, die anfällig für dieses Problem sind.

GKE on AWS-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.


Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GKE on AWS-Version mit einem aktualisierten OpenSSH wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

In GKE on AWS werden keine Maschinen mit öffentlichen IP-Adressen oder Firewallregeln bereitgestellt, die standardmäßig Traffic zu Port 22 zulassen. Je nach Subnetzkonfiguration können Computer jedoch während der Bereitstellung automatisch eine öffentliche IP-Adresse erhalten.

Ob Knoten mit öffentlichen IP-Adressen bereitgestellt werden, sehen Sie in der Konfiguration des Subnetzes, das mit Ihrer AWS-Knotenpool-Ressource verknüpft ist.

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Auch wenn GKE on AWS standardmäßig keinen Traffic auf Port 22 auf einem Knoten zulässt, können Kunden Knotenpools zusätzliche Sicherheitsgruppen zuweisen, um eingehenden SSH-Traffic zu ermöglichen.

Wir empfehlen, entsprechende Regeln aus den bereitgestellten Sicherheitsgruppen entfernen oder einzuschränken.

Öffentliche Knotenpools in private umwandeln

Um Cluster mit öffentlichen Knoten bestmöglich zu schützen, empfehlen wir, SSH wie im vorherigen Abschnitt beschrieben über Ihre Sicherheitsgruppe zu deaktivieren. Wenn Sie SSH nicht über die Sicherheitsgruppenregeln deaktivieren können, können Sie öffentliche Knotenpools in private umwandeln. Deaktivieren Sie dazu die Option, Maschinen innerhalb eines Subnetzes automatisch öffentliche IP-Adressen zuzuweisen, und stellen Sie den Knotenpool neu bereit.


Kritisch

GKE on Azure

Aktualisiert: 11.07.2024

Beschreibung Schweregrad

Aktualisierung vom 11. Juli 2024 : Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Führen Sie ein Upgrade der GKE on Azure-Steuerungsebene und der Knotenpools auf eine dieser Versionen mit Patch oder höher durch. Eine Anleitung finden Sie unter Upgrade der Azure-Clusterversion ausführen und Knotenpool aktualisieren.


Aktualisierung vom 02.07.2024 : Auf allen unterstützten Versionen von Ubuntu-Images in GKE on Azure werden Versionen von OpenSSH ausgeführt, die für dieses Problem anfällig sind.

GKE-on-Azure-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.


Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GKE on Azure-Version mit einem aktualisierten OpenSSH wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

Bei GKE on Azure werden keine Maschinen mit öffentlichen IP-Adressen oder Firewallregeln bereitgestellt, die standardmäßig Traffic an Port 22 zulassen. Führen Sie den folgenden Befehl aus, um in Ihrer Azure-Konfiguration zu prüfen, ob in Ihrem GKE on Azure-Cluster öffentliche IP-Adressen konfiguriert sind:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
SSH-Verbindungen zu den Clusterknoten nicht zulassen

Auch wenn GKE on Azure standardmäßig keinen Traffic auf Port 22 auf einem Knoten zulässt, können Kunden NetworkSecurityGroup-Regeln für Knotenpools aktualisieren, um eingehenden SSH-Traffic aus dem öffentlichen Internet zu ermöglichen.

Wir empfehlen Ihnen dringend, die mit Ihren Kubernetes-Clustern verknüpften Netzwerksicherheitsgruppen (NSGs) zu überprüfen. Wenn eine NSG-Regel vorhanden ist, die uneingeschränkten eingehenden Traffic an Port 22 (SSH) zulässt, gehen Sie so vor:

  • Regel vollständig entfernen: Wenn kein SSH-Zugriff auf die Clusterknoten aus dem Internet erforderlich ist, entfernen Sie die Regel, um potenzielle Angriffsvektoren zu eliminieren.
  • Begrenzung des Geltungsbereichs der Regel: Beschränken Sie den eingehenden Zugriff auf Port 22 auf die IP-Adressen oder -Bereiche, für die er erforderlich ist. So wird die Angriffsfläche für potenzielle Angriffe minimiert.
Öffentliche Knotenpools in private umwandeln

Um Cluster mit öffentlichen Knoten bestmöglich zu schützen, empfehlen wir, SSH wie im vorherigen Abschnitt beschrieben über Ihre Sicherheitsgruppe zu deaktivieren. Wenn Sie SSH nicht über die Sicherheitsgruppenregeln deaktivieren können, können Sie öffentliche Knotenpools in private umwandeln, indem Sie die öffentlichen IP-Adressen entfernen, die den VMs zugewiesen sind.

Informationen zum Entfernen einer öffentlichen IP-Adresse aus einer VM und zum Ersetzen durch eine private IP-Adresse finden Sie unter Verknüpfung einer öffentlichen IP-Adresse mit einer Azure-VM aufheben.

Auswirkungen : Alle bestehenden Verbindungen, die die öffentliche IP-Adresse verwenden, werden unterbrochen. Achten Sie darauf, dass Sie alternative Zugriffsmethoden eingerichtet haben, z. B. ein VPN oder Azure Bastion.


Kritisch

GDC (Bare Metal)

Aktualisiert : 2. Juli 2024

Beschreibung Schweregrad

Aktualisierung vom 02.07.2024 : In der ursprünglichen Version dieses Bulletins für die GDC-Software für Bare Metal wurde fälschlicherweise angegeben, dass Patchversionen in Arbeit sind. Die GDC-Software für Bare Metal ist nicht direkt betroffen, da sie den SSH-Daemon oder die Konfiguration des Betriebssystems nicht verwaltet. Für Patchversionen ist daher der Betriebssystemanbieter verantwortlich, wie im Abschnitt Was kann ich tun? beschrieben.


Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

Update vom 02.07.2024 : Wenden Sie sich an Ihren Betriebssystemanbieter, um einen Patch für die Betriebssysteme zu erhalten, die mit der GDC-Software für Bare Metal verwendet werden.

Achten Sie darauf, dass bis zur Anwendung des Patches des Betriebssystemanbieters keine SSH-Verbindungen vom Internet aus zu öffentlich zugänglichen Maschinen zugelassen werden. Wenn das nicht möglich ist, können Sie alternativ LoginGraceTime auf null setzen und den sshd-Server neu starten:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Beachten Sie, dass diese Konfigurationsänderung das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit dem legitimen SSH-Zugriff verursachen kann.


Ursprünglicher Text vom 01.07.2024 (Korrektur siehe vorheriges Update vom 02.07.2024):

Kritisch

GCP-2024-039

Veröffentlicht: 28. 06. 2024
Aktualisiert: 25. 09. 2024
Referenz: CVE-2024-26923

Aktualisierung vom 25.09.2024 : Patchversionen für GDC (VMware) wurden hinzugefügt.

Aktualisierung vom 20.08.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert: 20.08.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26923

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 20.08.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert: 25.09.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26923

Wie gehe ich am besten vor?

Aktualisierung vom 25.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.29.400
  • 1.28.900

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26923

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26923

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26923

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-038

Veröffentlicht: 26.06.2024
Aktualisiert: 17.09.2024
Referenz: CVE-2024-26924

Aktualisierung vom 17.09.2024 : Patchversionen für GDC (VMware) wurden hinzugefügt.

Aktualisierung vom 06.08.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert : 6. August 2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26924

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.15-gke.1252000
  • 1.28.11-gke.1260000
  • 1.29.6-gke.1326000
  • 1.30.2-gke.1394003

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GDC (VMware)

Aktualisiert: 17.09.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26924

Wie gehe ich am besten vor?

Aktualisierung vom 17.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.29.400
  • 1.28.800
  • 1.16.11

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26924

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26924

Wie gehe ich am besten vor?

Ausstehend

GDC (Bare Metal)

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26924

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Keine

GCP-2024-036

Veröffentlicht: 2024-06-18
Referenz: CVE-2024-26584

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-035

Veröffentlicht: 12.06.2024
Aktualisiert: 18.07.2024
Referenz: CVE-2024-26584

18. Juli 2024 – Update : Es wurden Patchversionen für Ubuntu-Knotenpools in GKE und eine Patchversion für Version 1.27 für Container-Optimized OS-Knotenpools hinzugefügt.

GKE

Aktualisiert: 18.07.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Die folgende GKE-Version wurde mit Code aktualisiert, um diese Sicherheitslücke unter Container-Optimized OS zu schließen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf die folgende Patchversion oder höher:

  • 1.27.15-gke.1125000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen, für die jedoch keine Patchversion verfügbar ist. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind:

  • 1,26
  • 1,27

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-034

Veröffentlicht: 11.06.2024
Aktualisiert: 10.07.2024
Referenz: CVE-2024-26583

Aktualisierung vom 10. Juli 2024 : Es wurden Patchversionen für Container-Optimized OS-Knoten mit den Minor-Versionen 1.26 und 1.27 sowie Patchversionen für Ubuntu-Knoten hinzugefügt.

GKE

Aktualisiert: 10.07.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26583

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 10. Juli 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

Führen Sie für die Nebenversionen 1.26 und 1.27 ein Upgrade Ihrer Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26583

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26583

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26583

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2024-26583

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-033

Veröffentlicht: 10.06.2024
Aktualisiert: 26.09.2024
Referenz: CVE-2022-23222

Aktualisierung vom 26.09.2024 : Patchversionen für GDC (VMware) wurden hinzugefügt.

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2022-23222

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Aktualisiert: 26.09.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2022-23222

Wie gehe ich am besten vor?

Aktualisierung vom 26.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.28.900-gke.113
  • 1.29.400-gke.8

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2022-23222

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2022-23222

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

  • CVE-2022-23222

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-031

Veröffentlicht: 24. 05. 2024
Referenz: CVE-2024-4323

GKE

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

In GKE wird keine angreifbare Version von Fluent Bit verwendet und es ist nicht betroffen.

Wie gehe ich am besten vor?

GKE ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on VMware

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

Da in GKE on VMware keine angreifbare Version von Fluent Bit verwendet wird, ist es nicht betroffen.

Wie gehe ich am besten vor?

GKE on VMware ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on AWS

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

In GKE on AWS wird keine anfällige Version von Fluent Bit verwendet und es ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Azure

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

In GKE on Azure wird keine anfällige Version von Fluent Bit verwendet und es ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Bare Metal

Beschreibung Schweregrad

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

Bei GKE on Bare Metal wird keine anfällige Version von Fluent Bit verwendet und die Umgebung ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Keine

GCP-2024-030

Veröffentlicht: 15.05.2024
Aktualisiert: 18.07.2024
Referenz: CVE-2023-52620

Aktualisierung vom 18. Juli 2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert: 18.07.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52620

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52620

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52620

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52620

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-52620

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-029

Veröffentlicht: 14.05.2024
Aktualisiert: 19.08.2024
Referenz: CVE-2024-26642

Aktualisierung vom 19.08.2024 : Es wurden Patchversionen für Ubuntu-Knoten hinzugefügt.

GKE

Aktualisiert: 19.08.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26642

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19.08.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26642

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26642

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26642

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26642

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-028

Veröffentlicht: 13.05.2024
Aktualisiert: 22.05.2024
Referenz: CVE-2024-26581

Aktualisierung vom 22. Mai 2024 : Es wurden Patchversionen für Ubuntu-Knoten hinzugefügt.

GKE

Aktualisiert: 22.05.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26581

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26581

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26581

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26581

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26581

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-027

Veröffentlicht: 08.05.2024
Aktualisiert: 25.09.2024
Referenz: CVE-2024-26808

Aktualisierung vom 25.09.2024 : Patchversionen für GDC (VMware) wurden hinzugefügt.

Aktualisierung vom 15. Mai 2024 : Patchversionen für GKE-Ubuntu-Knotenpools wurden hinzugefügt.

Update vom 09.05.2024 : Die Schwere wurde von „Mittel“ auf „Hoch“ korrigiert und es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

GKE

Aktualisiert: 9. Mai 2024, 15. Mai 2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26808

Aktualisierung vom 09.05.2024: Der Schweregrad wurde von „Mittel“ auf „Hoch“ korrigiert. Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.


GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 15. Mai 2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Aktualisiert: 25.09.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26808

Wie gehe ich am besten vor?

Aktualisierung vom 25.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.28.600
  • 1.16.9

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26808

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26808

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26808

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-026

Veröffentlicht: 07.05.2024
Aktualisiert: 06.08.2024
Referenz: CVE-2024-26643

Aktualisierung vom 06.08.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Update vom 09.05.2024 : Der Schweregrad wurde von „Mittel“ auf „Hoch“ korrigiert.

GKE

Aktualisiert : 6. August 2024

Beschreibung Schweregrad

Update vom 09.05.2024:Der Schweregrad wurde von „Mittel“ auf „Hoch“ korrigiert.


Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26643

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

  • 1.27.15-gke.1252000
  • 1.28.11-gke.1260000
  • 1.29.6-gke.1326000
  • 1.30.2-gke.1394003

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26643

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26643

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26643

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26643

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-024

Veröffentlicht: 25.04.2024
Aktualisiert: 18.07.2024
Referenz: CVE-2024-26585

Aktualisierung vom 18. Juli 2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

GKE

Aktualisiert: 18.07.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26585

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26585

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26585

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26585

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-26585

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-022

Veröffentlicht: 03.04.2024
Aktualisiert: 17.07.2024
Referenz: CVE-2023-45288

Aktualisierung vom 17.07.2024 : Patchversionen für GKE on VMware wurden hinzugefügt.
Aktualisierung vom 09.07.2024 : Patchversionen für GKE on Bare Metal wurden hinzugefügt.
24.04.2024 – Update : Patchversionen für GKE wurden hinzugefügt.

GKE

Aktualisiert: 24.04.2024

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken sind durch einen eingeschränkten Netzwerkzugriff geschützt. Alle anderen Cluster sind jedoch betroffen.

GKE Autopilot- und Standardcluster sind betroffen.

Wie gehe ich am besten vor?

24.04.2024 – Update:Patchversionen für GKE wurden hinzugefügt.

Die folgenden GKE-Versionen enthalten die Golang-Sicherheits-Patches zur Behebung dieser Sicherheitslücke. Aktualisieren Sie Ihre GKE-Cluster auf die folgenden Versionen oder höher:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Sie können das Risiko minimieren, indem Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene konfigurieren:

Sie können Ihre Cluster vor dieser Art von Angriffen schützen, indem Sie autorisierte Netzwerke konfigurieren. Folgen Sie der Anleitung zum Aktivieren autorisierter Netzwerke für einen vorhandenen Cluster.

Weitere Informationen dazu, wie autorisierte Netzwerke den Zugriff auf die Steuerungsebene steuern, finden Sie unter Funktionsweise von autorisierten Netzwerken. Die Standardberechtigungen für den Netzwerkzugriff finden Sie in der Tabelle im Abschnitt Zugriff auf Endpunkte der Steuerungsebene.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on VMware

Aktualisiert: 17.07.2024

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen.

Wie gehe ich am besten vor?

Aktualisierung vom 17.07.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden Versionen von GKE on VMware enthalten Code, mit dem diese Sicherheitslücke behoben wird. Führen Sie ein Upgrade Ihrer GKE on VMware-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.29.0
  • 1.28.500
  • 1.16.8

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on VMware-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on AWS

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen.

Wie gehe ich am besten vor?

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on AWS-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on Azure

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen.

Wie gehe ich am besten vor?

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on Azure-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GKE on Bare Metal

Aktualisiert: 09.07.2024

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.07.2024:Patchversionen für GKE on Bare Metal wurden hinzugefügt.

Die folgenden Versionen von GKE on Bare Metal enthalten Code, mit dem diese Sicherheitslücke behoben wird. Führen Sie ein Upgrade Ihrer GKE on Bare Metal-Cluster auf eine der folgenden Versionen oder höher durch:

  • 1.29.100
  • 1.28.600
  • 1.16.9

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on Bare Metal-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Hoch

GCP-2024-018

Veröffentlicht: 12.03.2024
Aktualisiert: 06.05.2024
Referenz: CVE-2024-1085

Aktualisierung vom 06.05.2024 : Patchversionen für GKE-Ubuntu-Knotenpools hinzugefügt und ein zusätzliches horizontales Linienelement aus dem Update vom 04.04.2024 entfernt.

Update vom 04.04.2024 : Korrektur der Mindestversionen für GKE-Knotenpools mit Container-Optimized OS.

GKE

Aktualisiert : 6. Mai 2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-1085

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.05.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu schließen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch.

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

Update vom 04.04.2024:Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS.

Die Mindest-GKE-Versionen, die die oben aufgeführten Korrekturen für Container-Optimized OS enthalten, waren falsch. Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Container-Optimized OS zu schließen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf die folgenden Versionen oder höher:

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-1085

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-1085

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-1085

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-1085

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-017

Veröffentlicht: 2024-03-06
Referenz: CVE-2023-3611

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3611

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3611

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3611

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3611

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3611

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-014

Veröffentlicht: 26. 02. 2024
Referenz: CVE-2023-3776

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3776

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3776

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3776

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3776

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3776

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-013

Veröffentlicht: 23. 02. 2024
Referenz: CVE-2023-3610

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3610

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3610

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3610

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3610

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-3610

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-012

Veröffentlicht: 2024-02-20
Referenz: CVE-2024-0193

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-0193

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-0193

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-0193

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-0193

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2024-0193

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-011

Veröffentlicht: 2024-02-15
Referenz: CVE-2023-6932

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-6932

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-6932

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-6932

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-6932

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

  • CVE-2023-6932

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-010

Veröffentlicht: 14.02.2024
Aktualisiert: 17.04.2024
Referenz: CVE-2023-6931

Aktualisierung vom 17.04.2024 : Patchversionen für GKE on VMware wurden hinzugefügt.

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6931

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Aktualisiert: 17.04.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6931

Wie gehe ich am besten vor?

Aktualisierung vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt.


Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher:

  • 1.28.200
  • 1.16.6
  • 1.15.10


Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6931

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6931

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6931

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-008

Veröffentlicht: 12.02.2024
Referenz: CVE-2023-5528

GKE

Beschreibung Schweregrad

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE Standard-Cluster, die Windows Server-Knoten ausführen und ein In-Tree-Speicher-Plug-in verwenden, sind möglicherweise betroffen.

GKE Autopilot-Cluster und GKE-Knotenpools, die GKE Sandbox verwenden, sind nicht betroffen, da sie keine Windows Server-Knoten unterstützen.

Wie gehe ich am besten vor?

So ermitteln Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie die Audit-Logs auf Anzeichen von Ausnutzung. Anhand der Kubernetes-Audit-Logs lässt sich feststellen, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zum Erstellen von Persistent Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf eine Ausnutzung.

Aktualisieren Sie Ihren GKE-Cluster und Ihre Knotenpools auf eine Patchversion. Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, empfehlen wir Ihnen, ein manuelles Upgrade Ihres Clusters und Ihrer Windows Server-Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

Hoch

GKE on VMware

Beschreibung Schweregrad

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on VMware-Cluster, die Windows Server-Knoten ausführen und ein In-Tree-Speicher-Plug-in verwenden, sind möglicherweise betroffen.

Wie gehe ich am besten vor?

So ermitteln Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie die Audit-Logs auf Anzeichen von Ausnutzung. Anhand der Kubernetes-Audit-Logs lässt sich feststellen, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zum Erstellen von Persistent Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf eine Ausnutzung.

Aktualisieren Sie Ihren GKE on VMware-Cluster und Ihre Knotenpools auf eine gepatchte Version. Die folgenden GKE on VMware-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, empfehlen wir Ihnen, ein manuelles Upgrade Ihres Clusters und Ihrer Windows Server-Knotenpools auf eine der folgenden GKE on VMware-Versionen oder höher durchzuführen:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

Hoch

GKE on AWS

Beschreibung Schweregrad

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on AWS-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GKE on Azure

Beschreibung Schweregrad

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Azure-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GKE on Bare Metal

Beschreibung Schweregrad

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Bare Metal-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Keine

GCP-2024-005

Veröffentlicht: 31.01.2024
Aktualisiert: 06.05.2024
Referenz: CVE-2024-21626

Aktualisierung vom 06.05.2024: Es wurden Patchversionen für GKE on AWS und GKE on Azure hinzugefügt.
Aktualisierung vom 02.04.2024: Patchversionen für GKE on Bare Metal hinzugefügt
Aktualisierung vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt
Aktualisierung vom 28.02.2024: Patchversionen für Ubuntu hinzugefügt
Aktualisierung vom 15.02.2024: Es wurde klargestellt, dass die Ubuntu-Patchversionen 1.25 und 1.26 im Update vom 14. Februar 2024 zu nicht betriebsbereiten Knoten führen können.
Aktualisierung vom 14.02.2024: Patchversionen für Ubuntu wurden hinzugefügt.
Aktualisierung vom 06.02.2024: Patchversionen für Container-Optimized OS wurden hinzugefügt.

GKE

Aktualisiert: 06.03.2024

Beschreibung Schweregrad

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt. Ein Nutzer mit Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten kann dadurch möglicherweise vollen Zugriff auf das Knotendateisystem erhalten.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 28. Februar 2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Update vom 15. Februar 2024: Aufgrund eines Problems können die folgenden Ubuntu-Patchversionen vom Update vom 14. Februar 2024 dazu führen, dass Ihre Knoten in einen nicht ordnungsgemäßen Zustand versetzt werden. Führen Sie kein Upgrade auf die folgenden Patchversionen durch. Wir aktualisieren dieses Bulletin, sobald neuere Patchversionen für Ubuntu für 1.25 und 1.26 verfügbar sind.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Wenn Sie bereits ein Upgrade auf eine dieser Patchversionen durchgeführt haben, führen Sie ein manuelles Downgrade Ihres Knotenpools auf eine frühere Version in Ihrem Release-Kanal aus.


Aktualisierung vom 14.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Aktualisierung vom 06.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Container-Optimized OS-Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.


Wir aktualisieren GKE mit Code, um diese Sicherheitslücke zu schließen. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GKE on VMware

Aktualisiert: 06.03.2024

Beschreibung Schweregrad

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, bei der ein Nutzer mit Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Wie gehe ich am besten vor?

Aktualisierung vom 06.03.2024: Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Patchversionen und eine Schweregradbewertung für GKE on VMware sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GKE on AWS

Aktualisiert : 6. Mai 2024

Beschreibung Schweregrad

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, bei der ein Nutzer mit Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Wie gehe ich am besten vor?

Aktualisierung vom 06.05.2024: Die folgenden Versionen von GKE on AWS wurden mit Patches für CVE-2024-21626 aktualisiert:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Patchversionen und eine Bewertung des Schweregrads für GKE on AWS sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GKE on Azure

Aktualisiert : 6. Mai 2024

Beschreibung Schweregrad

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, bei der ein Nutzer mit Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Wie gehe ich am besten vor?

Aktualisierung vom 06.05.2024: Die folgenden Versionen von GKE on Azure wurden mit Patches für CVE-2024-21626 aktualisiert:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Patchversionen und eine Bewertung der Schwere für GKE on Azure sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GKE on Bare Metal

Aktualisiert: 02.04.2024

Beschreibung Schweregrad

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, durch die ein Nutzer mit Berechtigung zum Erstellen von Pods möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Wie gehe ich am besten vor?

Aktualisierung vom 02.04.2024: Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher:

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

Patchversionen und eine Bewertung der Schwere für GKE on Bare Metal sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Hoch

GCP-2024-004

Veröffentlicht: 24.01.2024
Aktualisiert: 07.02.2024
Referenz: CVE-2023-6817

Aktualisierung vom 07.02.2024 : Es wurden Patchversionen für Ubuntu hinzugefügt.

GKE

Aktualisiert: 07.02.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6817

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 07. Februar 2024:Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6817

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6817

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6817

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-6817

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2024-003

Veröffentlicht: 19.01.2024
Aktualisiert: 26.01.2024
Aktualisierung vom 26.01.2024: Die Anzahl der betroffenen Cluster und die Maßnahmen, die wir ergriffen haben, um die Auswirkungen zu minimieren, wurden geklärt.

GKE

Aktualisiert: 26.01.2024

Beschreibung Schweregrad

Update vom 26.01.2024: Sicherheitsforscher haben eine kleine Anzahl von GKE-Clustern mit einer von Kunden erstellten Fehlkonfiguration gefunden, die die Gruppe system:authenticated betrifft. Die Ergebnisse wurden veröffentlicht. Im Blogpost des Forschers wird auf 1.300 Cluster mit einigen falsch konfigurierten Bindungen und 108 mit hohen Berechtigungen verwiesen. Wir haben eng mit den betroffenen Kunden zusammengearbeitet, um sie zu benachrichtigen und ihnen beim Entfernen ihrer falsch konfigurierten Bindungen zu helfen.


Wir haben mehrere Cluster gefunden, in denen Nutzer der Gruppe system:authenticated Kubernetes-Berechtigungen erteilt haben. Diese Gruppe umfasst alle Nutzer mit einem Google-Konto. Diese Arten von Bindungen werden nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen und sehr großen Gruppen von Nutzern Zugriff gewähren. Eine Anleitung dazu, wie Sie diese Arten von Bindungen finden, finden Sie unter „Was kann ich tun?“.

Vor Kurzem hat ein Sicherheitsforscher über unser Programm zur Meldung von Sicherheitslücken Cluster mit RBAC-Fehlkonfigurationen gemeldet.

Google möchte die Authentifizierung in Google Cloud und GKE so einfach und sicher wie möglich gestalten, ohne dass komplexe Konfigurationsschritte erforderlich sind. Die Authentifizierung gibt nur an, wer der Nutzer ist. Bei der Autorisierung wird der Zugriff festgelegt. Die Gruppe system:authenticated in GKE, die alle Nutzer enthält, die über den Identitätsanbieter von Google authentifiziert wurden, funktioniert also wie vorgesehen und genauso wie die IAM-Kennung „allAuthenticatedUsers“.

Aus diesem Grund haben wir mehrere Maßnahmen ergriffen, um das Risiko zu verringern, dass Nutzer Autorisierungsfehler mit den in Kubernetes integrierten Nutzern und Gruppen machen, einschließlich system:anonymous, system:authenticated und system:unauthenticated. Alle diese Nutzer/Gruppen stellen ein Risiko für den Cluster dar, wenn ihnen Berechtigungen gewährt werden. Bei der Kubecon im November 2023 haben wir einige Angriffe auf fehlerhafte RBAC-Konfigurationen und verfügbare Abwehrmaßnahmen besprochen.

Um Nutzer vor versehentlichen Autorisierungsfehlern mit diesen Systemnutzern/-gruppen zu schützen, haben wir Folgendes eingerichtet:

  • Standardmäßig blockierte neue Bindungen der hoch privilegierten ClusterRole cluster-admin an den Nutzer system:anonymous, die Gruppe system:authenticated oder die Gruppe system:unauthenticated in GKE-Version 1.28.
  • Es wurden Erkennungsregeln in Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) als Teil von Security Command Center integriert.
  • Konfigurierbare Präventionsregeln wurden mit K8sRestrictRoleBindings in Policy Controller eingebunden.
  • E-Mail-Benachrichtigungen an alle GKE-Nutzer mit Bindungen an diese Nutzer/Gruppen gesendet, in denen sie aufgefordert wurden, ihre Konfiguration zu überprüfen.
  • Wir haben Netzwerkautorisierungsfunktionen implementiert und Empfehlungen zur Einschränkung des Netzwerkzugriffs auf Cluster als erste Verteidigungslinie gegeben.
  • Wir haben in einem Vortrag auf der Kubecon im November 2023 auf dieses Problem aufmerksam gemacht.

Cluster, für die Einschränkungen für autorisierte Netzwerke gelten, haben eine erste Verteidigungsschicht: Sie können nicht direkt über das Internet angegriffen werden. Wir empfehlen jedoch, diese Bindungen zu entfernen, um für einen umfassenden Schutz zu sorgen und Fehler in den Netzwerksteuerungen zu vermeiden.
Es gibt einige Fälle, in denen Bindungen an Kubernetes-Systemnutzer oder ‑gruppen beabsichtigt verwendet werden: z.B. für das kubeadm-Bootstrapping, das Rancher-Dashboard und Bitnami-versiegelte Geheimnisse. Wir haben von diesen Softwareanbietern die Bestätigung erhalten, dass diese Bindungen wie vorgesehen funktionieren.

Wir prüfen, wie wir Nutzer vor einer fehlerhaften Konfiguration der RBAC-Berechtigungen durch diese Systemnutzer/-gruppen schützen können, indem wir Prävention und Erkennung einsetzen.

Wie gehe ich am besten vor?

Um neue Bindungen von cluster-admin an den Nutzer system:anonymous, die Gruppe system:authenticated oder die Gruppe system:unauthenticated zu verhindern, können Nutzer auf GKE v1.28 oder höher (Release-Notes) aktualisieren. Dort ist das Erstellen dieser Bindungen blockiert.

Vorhandene Bindungen sollten anhand dieser Anleitung überprüft werden.

Mittel

GKE on VMware

Aktuell gibt es keine Neuigkeiten.

GKE on AWS

Aktuell gibt es keine Neuigkeiten.

GKE on Azure

Aktuell gibt es keine Neuigkeiten.

GKE on Bare Metal

Aktuell gibt es keine Neuigkeiten.

GCP-2024-002

Veröffentlicht: 17.01.2024
Aktualisiert: 20.02.2024
Referenz: CVE-2023-6111

Aktualisierung vom 20.02.2024 : Patchversionen für GKE on VMware wurden hinzugefügt.

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

  • CVE-2023-6111

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Aktualisiert: 20.02.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

  • CVE-2023-6111

Wie gehe ich am besten vor?

Aktualisierung vom 20.02.2024:Die folgenden Versionen von GKE auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher: 1.28.100


Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

  • CVE-2023-6111

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

  • CVE-2023-6111

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

  • CVE-2023-6111

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-051

Veröffentlicht: 28. 12. 2023
Referenz: CVE-2023-3609

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3609

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3609

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3609

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3609

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3609

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-050

Veröffentlicht: 27.12.2023
Referenz: CVE-2023-3389

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3389

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3389

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3389

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3389

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3389

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-049

Veröffentlicht: 20.12.2023
Referenz: CVE-2023-3090

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3090

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das Seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3090

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3090

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3090

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3090

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-048

Veröffentlicht: 15.12.2023
Aktualisiert: 21.12.2023
Referenz: CVE-2023-3390

Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

GKE

Aktualisiert: 21. 12. 2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3390

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3390

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3390

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3390

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3390

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-047

Veröffentlicht: 14. Dezember 2023

GKE

Beschreibung Schweregrad

Ein Angreifer, der den Fluent Bit-Logging-Container manipuliert hat, könnte diesen Zugriff mit hohen Berechtigungen kombinieren, die von Cloud Service Mesh in Clustern, in denen es aktiviert ist, benötigt werden, um Berechtigungen im Cluster zu steigern. Die Probleme mit Fluent Bit und Cloud Service Mesh wurden behoben und es sind jetzt Fehlerkorrekturen verfügbar. Diese Sicherheitslücken können in GKE nicht eigenständig ausgenutzt werden, sondern erfordern eine anfängliche Manipulation. Uns sind keine Fälle bekannt, in denen diese Sicherheitslücken ausgenutzt wurden.

Diese Probleme wurden über unser Prämienprogramm für die Meldung von Sicherheitslücken gemeldet.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken in Fluent Bit und für Nutzer von verwaltetem Cloud Service Mesh zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Cluster- und Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die Ausnutzung der in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer den Fluent Bit-Logging-Container manipulieren. Uns sind keine Sicherheitslücken in Fluent Bit bekannt, die diese Voraussetzung für die Rechteausweitung erfüllen würden. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

In GKE werden Logs für Arbeitslasten, die in Clustern ausgeführt werden, mit Fluent Bit verarbeitet. Fluent Bit in GKE wurde auch so konfiguriert, dass Logs für Cloud Run-Arbeitslasten erfasst werden. Das Volume-Mount, das für die Erfassung dieser Protokolle konfiguriert war, gab Fluent Bit Zugriff auf Kubernetes-Dienstkonto-Tokens für andere Pods, die auf dem Knoten ausgeführt wurden. Der Angreifer nutzte diesen Zugriff, um ein Token für ein Dienstkonto mit sehr hohen Berechtigungen für Cluster zu finden, für die Cloud Service Mesh aktiviert ist.

Für Cloud Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Sicherheitsforscher nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben den Zugriff von Fluent Bit auf die Dienstkontotokens entfernt und die Funktionen von Cloud Service Mesh neu gestaltet, um überflüssige Berechtigungen zu entfernen.

Mittel

GKE on VMware

Beschreibung Schweregrad

Betroffen sind nur GKE on VMware-Cluster, die Cloud Service Mesh verwenden.

Wie gehe ich am besten vor?

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer zuerst einen Container manipulieren oder anderweitig ausbrechen oder Root-Zugriff auf einen Clusterknoten haben. Uns sind keine Sicherheitslücken bekannt, die zu dieser Voraussetzung für die Rechteausweitung führen würden. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Für Cloud Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Rechercheur nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben die Funktionen von Cloud Service Mesh überarbeitet, um übermäßige Berechtigungen zu entfernen.

Mittel

GKE on AWS

Beschreibung Schweregrad

Nur GKE on AWS-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer zuerst einen Container manipulieren oder anderweitig ausbrechen oder Root-Zugriff auf einen Clusterknoten haben. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung erfüllen. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Für Cloud Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Rechercheur nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben die Funktionen von Cloud Service Mesh überarbeitet, um übermäßige Berechtigungen zu entfernen.

Mittel

GKE on Azure

Beschreibung Schweregrad

Nur GKE-Cluster in Azure, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer zuerst einen Container manipulieren oder anderweitig ausbrechen oder Root-Zugriff auf einen Clusterknoten haben. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung erfüllen. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Für Cloud Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Rechercheur nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben die Funktionen von Cloud Service Mesh überarbeitet, um übermäßige Berechtigungen zu entfernen.

Mittel

GKE on Bare Metal

Beschreibung Schweregrad

Nur GKE on Bare Metal-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer zuerst einen Container manipulieren oder anderweitig ausbrechen oder Root-Zugriff auf einen Clusterknoten haben. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung erfüllen. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Für Anthos Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, z. B. Pods zu erstellen und zu löschen. Der Rechercheur nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben die Funktionen von Cloud Service Mesh überarbeitet, um übermäßige Berechtigungen zu entfernen.

Mittel

GCP-2023-046

Veröffentlicht: 22.11.2023
Aktualisiert: 04.03.2024
Referenz: CVE-2023-5717

Update vom 04.03.2024 : GKE-Versionen für GKE on VMware hinzugefügt.

Aktualisierung vom 22. Januar 2024 : Ubuntu-Patchversionen wurden hinzugefügt.

GKE

Aktualisiert: 22.01.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5717

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.01.2024: Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Aktualisiert: 29.02.2024

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5717

Wie gehe ich am besten vor?

Aktualisierung vom 04.03.2024: Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen oder höher:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5717

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5717

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5717

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-045

Veröffentlicht: 20.11.2023
Aktualisiert: 21.12.2023
Referenz: CVE-2023-5197

Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

GKE

Aktualisiert: 21. 12. 2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5197

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5197

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5197

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5197

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-5197

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-042

Veröffentlicht: 13.11.2023
Aktualisiert: 15.11.2023
Referenz: CVE-2023-4147

Aktualisierung vom 15.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

GKE

Aktualisiert: 15. November 2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4147

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster sind nicht betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 15.11.2023: Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Versionen mit Patches aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Wenn Sie beispielsweise GKE 1.27 verwenden, sollten Sie auf die entsprechende Version mit Patch aktualisieren. Wenn Sie jedoch GKE 1.24 verwenden, müssen Sie kein Upgrade auf eine gepatchte Version durchführen.


Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4147

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4147

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4147

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4147

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-041

Veröffentlicht: 08.11.2023
Aktualisiert: 21.11.2023, 05.12.2023, 21.12.2023
Referenz: CVE-2023-4004

Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 05.12.2023 : Es wurden weitere GKE-Versionen für Container-Optimized OS-Knotenpools hinzugefügt.

Aktualisierung vom 21.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE umgestellt werden müssen.

GKE

Aktualisiert: 21.11.2023, 05.12.2023, 21.12.2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4004

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 05.12.2023 : Einige GKE-Versionen fehlten zuvor. Im Folgenden finden Sie eine aktualisierte Liste der GKE-Versionen, auf die Sie Container-Optimized OS aktualisieren können:

  • 1.24.17-gke.200 oder höher
  • 1.25.13-gke.200 oder höher
  • 1.26.8-gke.200 oder höher
  • 1.27.4-gke.2300 oder höher
  • 1.28.1-gke.1257000 oder höher

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4004

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4004

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4004

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4004

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-040

Veröffentlicht: 2023-11-06
Aktualisiert: 2023-11-21, 2023-12-21
Referenz: CVE-2023-4921

Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE umgestellt werden müssen.

GKE

Aktualisiert: 21. November 2023, 21. Dezember 2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4921

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4921

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4921

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4921

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-039

Veröffentlicht: 06.11.2023
Aktualisiert: 21.11.2023, 16.11.2023
Referenz: CVE-2023-4622

Aktualisierung vom 21.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE umgestellt werden müssen.

Aktualisierung vom 16.11.2023 : Die mit diesem Sicherheitsbulletin verknüpfte Sicherheitslücke lautet CVE-2023-4622. In einer früheren Version des Sicherheitsbulletins wurde CVE-2023-4623 fälschlicherweise als Sicherheitslücke aufgeführt.

GKE

Aktualisiert: 21.11.2023, 16.11.2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Hoch

GKE on VMware

Aktualisiert: 16.11.2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Aktualisiert: 16.11.2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Aktualisiert: 16.11.2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Aktualisiert: 16.11.2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-038

Veröffentlicht: 06.11.2023
Aktualisiert: 21.11.2023, 21.12.2023
Referenz: CVE-2023-4623

Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE umgestellt werden müssen.

GKE

Aktualisiert: 21. November 2023, 21. Dezember 2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-037

Veröffentlicht: 06.11.2023
Aktualisiert: 21.11.2023, 21.12.2023
Referenz: CVE-2023-4015

Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE umgestellt werden müssen.

GKE

Aktualisiert: 21. November 2023, 21. Dezember 2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4015

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.27.5-gke.1647000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4015

Wie gehe ich am besten vor?

Ausstehend

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4015

Wie gehe ich am besten vor?

Ausstehend

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4015

Wie gehe ich am besten vor?

Ausstehend

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4015

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Keine

GCP-2023-035

Veröffentlicht: 26.10.2023
Aktualisiert: 21.11.2023, 21.12.2023
Referenz: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE umgestellt werden müssen.

GKE

Aktualisiert: 21. November 2023, 21. Dezember 2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Wie gehe ich am besten vor?

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Wie gehe ich am besten vor?

Hoch

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Wie gehe ich am besten vor?

Hoch

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Hoch

GCP-2023-033

Veröffentlicht: 24.10.2023
Aktualisiert: 21.11.2023, 21.12.2023
Referenz: CVE-2023-3777

Update vom 21.12.2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration und GKE Sandbox-Arbeitslasten nicht betroffen sind.

Aktualisierung vom 21.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE umgestellt werden müssen.

GKE

Aktualisiert: 21. November 2023, 21. Dezember 2023

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3777

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen. Auch GKE Sandbox-Arbeitslasten sind nicht betroffen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind davon betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3777

Wie gehe ich am besten vor?

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3777

Wie gehe ich am besten vor?

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3777

Wie gehe ich am besten vor?

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

  • CVE-2023-3777

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

GCP-2023-030

Veröffentlicht: 10.10.2023
Aktualisiert: 20.03.2024
Referenz: CVE-2023-44487CVE-2023-39325

20.03.2024 – Update: Patchversionen für GKE on AWS und GKE on Azure hinzugefügt
14.02.2024 – Update: Patchversionen für GKE on VMware hinzugefügt
09.11.2023 – Update: CVE-2023-39325 hinzugefügt. GKE-Versionen wurden mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert.

GKE

Aktualisiert: 9. November 2023

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken sind durch einen eingeschränkten Netzwerkzugriff geschützt. Alle anderen Cluster sind jedoch betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.11.2023:Wir haben neue Versionen von GKE veröffentlicht, die die Go- und Kubernetes-Sicherheits-Patches enthalten. Sie können Ihre Cluster jetzt auf diese Versionen aktualisieren. In den kommenden Wochen werden wir weitere Änderungen an der GKE-Steuerungsebene vornehmen, um dieses Problem weiter einzudämmen.

Die folgenden GKE-Versionen wurden mit Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Wir empfehlen, die folgenden Maßnahmen so schnell wie möglich umzusetzen und ein Upgrade auf die neueste Version mit Patch durchzuführen, sobald diese verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald der GKE-Release verfügbar ist, aktualisieren wir dieses Bulletin mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten. Außerdem werden die Patches im GKE-Sicherheitsstatus angezeigt, sofern sie für Ihren Cluster verfügbar sind. Wenn Sie eine Pub/Sub-Benachrichtigung erhalten möchten, wenn ein Patch für Ihren Kanal verfügbar ist, aktivieren Sie Clusterbenachrichtigungen.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Sie können das Risiko minimieren, indem Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene konfigurieren:

Sie können autorisierte Netzwerke für vorhandene Cluster hinzufügen. Weitere Informationen finden Sie unter Autorisiertes Netzwerk für vorhandene Cluster.

Zusätzlich zu den von Ihnen hinzugefügten autorisierten Netzwerken gibt es voreingestellte IP-Adressen, die auf die GKE-Steuerungsebene zugreifen können. Weitere Informationen zu diesen Adressen finden Sie unter Zugriff auf Endpunkte der Steuerungsebene. Die folgenden Punkte fassen die Clusterisolation zusammen:

  • Private Cluster mit --master-authorized-networks und PSC-basierte Cluster mit --master-authorized-networks und --no-enable-google-cloud sind am besten isoliert.
  • Auf Legacy-öffentliche Cluster mit --master-authorized-networks und PSC-basierte Cluster mit --master-authorized-networks und --enable-google-cloud (Standard) kann zusätzlich über Folgendes zugegriffen werden:
    • Öffentliche IP-Adressen aller Compute Engine-VMs in Google Cloud
    • Google Cloud -Plattform-IP-Adressen

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf GKE-Knoten der Steuerungsebene ausführen.

Hoch

GKE on VMware

Aktualisiert: 14.02.2024

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Mit GKE on VMware werden Kubernetes-Cluster erstellt, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Aktualisierung vom 14.02.2024 : Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden oder höheren Patchversionen:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Wenn Sie Ihre GKE auf VMware Kubernetes-Clustern so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, sich an Ihren Firewall-Administrator zu wenden, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die aktuelle Patch-Version durchzuführen, sobald sie verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald die GKE-Version verfügbar ist, aktualisieren wir diese Mitteilung mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-44487 ermöglicht es einem Angreifer, einen Denial-of-Service-Angriff auf Kubernetes-Steuerungsebeneknoten auszuführen.

Hoch

GKE on AWS

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Mit GKE on AWS werden private Kubernetes-Cluster erstellt, auf die standardmäßig nicht direkt über das Internet zugegriffen werden kann. Sie sind daher vor dieser Sicherheitslücke geschützt.

Wie gehe ich am besten vor?

Aktualisierung vom 20.03.2024:Die folgenden GKE on AWS-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Wenn Sie GKE on AWS so konfiguriert haben, dass es direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke hat, empfehlen wir Ihnen, sich an Ihren Firewalladministrator zu wenden, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die aktuelle Patch-Version durchzuführen, sobald sie verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald die GKE-Version verfügbar ist, aktualisieren wir diese Mitteilung mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-44487 ermöglicht es einem Angreifer, einen Denial-of-Service-Angriff auf Kubernetes-Steuerungsebeneknoten auszuführen.

Hoch

GKE on Azure

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Mit GKE on Azure werden private Kubernetes-Cluster erstellt, die standardmäßig nicht direkt vom Internet aus zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

20.03.2024 – Update:Die folgenden GKE on Azure-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Wenn Sie Ihre GKE in Azure-Clustern so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke hat, empfehlen wir Ihnen, sich an Ihren Firewalladministrator zu wenden, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die aktuelle Patch-Version durchzuführen, sobald sie verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald die GKE-Version verfügbar ist, aktualisieren wir diese Mitteilung mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-44487 ermöglicht es einem Angreifer, einen Denial-of-Service-Angriff auf Kubernetes-Steuerungsebeneknoten auszuführen.

Hoch

GKE on Bare Metal

Beschreibung Schweregrad

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Mit Anthos on Bare Metal werden Kubernetes-Cluster erstellt, die standardmäßig nicht direkt vom Internet aus zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Wenn Sie Ihre Anthos on Bare Metal-Kubernetes-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewall-Administrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Weitere Informationen finden Sie in der Sicherheitsübersicht für GKE on Bare Metal.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die aktuelle Patch-Version durchzuführen, sobald sie verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald die GKE-Version verfügbar ist, aktualisieren wir diese Mitteilung mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-44487 ermöglicht es einem Angreifer, einen Denial-of-Service-Angriff auf Kubernetes-Steuerungsebeneknoten auszuführen.

Hoch

GCP-2023-026

Veröffentlicht: 06.09.2023
Referenz: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

GKE-Cluster sind nur dann betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

Die GKE-Steuerungsebene wird in der Woche vom 04.09.2023 aktualisiert, um den CSI-Proxy auf Version 1.1.3 zu aktualisieren. Wenn Sie Ihre Knoten vor dem Update der Steuerungsebene aktualisieren, müssen Sie sie nach dem Update noch einmal aktualisieren, um den neuen Proxy nutzen zu können. Sie können die Knoten auch noch einmal aktualisieren, ohne die Knotenversion zu ändern. Führen Sie dazu den Befehl gcloud container clusters upgrade aus und übergeben Sie das Flag --cluster-version mit der GKE-Version, die der Knotenpool bereits ausführt. Für diese Problemumgehung muss die gcloud CLI verwendet werden. Hinweis: Dies führt unabhängig von Wartungsfenstern zu einer Aktualisierung.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 kann ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet führt keine Eingabebereinigung durch und übergibt diesen manipulierten Pfadstring als Argument an den Befehlsausführer, wo Teile des Strings als separate Befehle ausgeführt werden. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt.

Bei CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Möglichkeit, Code mit derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, also mit privilegierten Berechtigungen.

Bei CVE-2023-3893 kann ein Nutzer, der Pods auf Windows-Knoten mit kubernetes-csi-proxy erstellen kann, aufgrund einer ähnlichen fehlenden Eingabevalidierung Administratorberechtigungen auf diesen Knoten erhalten.

Mithilfe von Kubernetes-Audit-Logs lässt sich erkennen, ob diese Sicherheitslücke ausgenutzt wird. Pod-Erstellungsereignisse mit eingebetteten PowerShell-Befehlen sind ein starkes Indiz für einen Missbrauch. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starkes Indiz für eine Ausnutzung.

Hoch

GKE on VMware

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Cluster sind nur dann betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 kann ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet führt keine Eingabebereinigung durch und übergibt diesen manipulierten Pfadstring als Argument an den Befehlsausführer, wo Teile des Strings als separate Befehle ausgeführt werden. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt.

Bei CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Möglichkeit, Code mit derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, also mit privilegierten Berechtigungen.

Bei CVE-2023-3893 kann ein Nutzer, der Pods auf Windows-Knoten mit kubernetes-csi-proxy erstellen kann, aufgrund einer ähnlichen fehlenden Eingabevalidierung Administratorberechtigungen auf diesen Knoten erhalten.

Mithilfe von Kubernetes-Audit-Logs lässt sich erkennen, ob diese Sicherheitslücke ausgenutzt wird. Pod-Erstellungsereignisse mit eingebetteten PowerShell-Befehlen sind ein starkes Indiz für einen Missbrauch. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starkes Indiz für eine Ausnutzung.

Hoch

GKE on AWS

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Wie gehe ich am besten vor?

GKE on AWS ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Azure

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Wie gehe ich am besten vor?

GKE on Azure ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

Keine

GKE on Bare Metal

Beschreibung Schweregrad

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

Keine

GCP-2023-018

Veröffentlicht: 27. 06. 2023
Referenz: CVE-2023-2235

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. Betroffen sind GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden.

GKE-Cluster sind nicht betroffen, wenn nur Ubuntu-Knoten-Images ausgeführt werden, Versionen vor 1.25 verwendet werden oder die GKE Sandbox verwendet wird.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2235 wurde bei der Funktion „perf_group_detach“ der „attach_state“ der Geschwister des Ereignisses nicht geprüft, bevor „add_event_to_groups()“ aufgerufen wurde. Mit „remove_on_exec“ konnte jedoch „list_del_event()“ aufgerufen werden, bevor die Verbindung zur Gruppe getrennt wurde. Dadurch konnte ein in der Schwebe befindlicher Verweis verwendet werden, was zu einer „Use-After-Free“-Sicherheitslücke führte.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2235 wurde bei der Funktion „perf_group_detach“ der „attach_state“ der Geschwister des Ereignisses nicht geprüft, bevor „add_event_to_groups()“ aufgerufen wurde. Mit „remove_on_exec“ konnte jedoch „list_del_event()“ aufgerufen werden, bevor die Verbindung zur Gruppe getrennt wurde. Dadurch konnte ein in der Schwebe befindlicher Verweis verwendet werden, was zu einer „Use-After-Free“-Sicherheitslücke führte.

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-2235 wurde bei der Funktion „perf_group_detach“ der „attach_state“ der Geschwister des Ereignisses nicht geprüft, bevor „add_event_to_groups()“ aufgerufen wurde. Mit „remove_on_exec“ konnte jedoch „list_del_event()“ aufgerufen werden, bevor die Verbindung zur Gruppe getrennt wurde. Dadurch konnte ein in der Schwebe befindlicher Verweis verwendet werden, was zu einer „Use-After-Free“-Sicherheitslücke führte.

Hoch

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-2235 wurde bei der Funktion „perf_group_detach“ der „attach_state“ der Geschwister des Ereignisses nicht geprüft, bevor „add_event_to_groups()“ aufgerufen wurde. Mit „remove_on_exec“ konnte jedoch „list_del_event()“ aufgerufen werden, bevor die Verbindung zur Gruppe getrennt wurde. Dadurch konnte ein in der Schwebe befindlicher Verweis verwendet werden, was zu einer „Use-After-Free“-Sicherheitslücke führte.

Hoch

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Keine

GCP-2023-017

Veröffentlicht: 26.06.2023
Aktualisiert: 11.07.2023
Referenz: CVE-2023-31436

Aktualisierung vom 11.07.2023 : Neue GKE-Versionen wurden um die neuesten Ubuntu-Versionen mit dem Patch für CVE-2023-31436 ergänzt.

GKE

Aktualisiert: 11.07.2023

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 11. Juli 2023:Ubuntu-Patchversionen sind verfügbar.

Die folgenden GKE-Versionen wurden um die neuesten Ubuntu-Versionen mit dem Patch für CVE-2023-31436 ergänzt:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels ein Out-of-Bounds-Speicherzugriffsfehler gefunden, wenn ein Nutzer die Funktion „qfq_change_class“ mit einem falschen MTU-Wert des Netzwerkgeräts auslöst, das als „lmax“ verwendet wird. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen oder seine Berechtigungen für das System zu eskalieren.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels ein Out-of-Bounds-Speicherzugriffsfehler gefunden, wenn ein Nutzer die Funktion „qfq_change_class“ mit einem falschen MTU-Wert des Netzwerkgeräts auslöst, das als „lmax“ verwendet wird. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen oder seine Berechtigungen für das System zu eskalieren.

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels ein Out-of-Bounds-Speicherzugriffsfehler gefunden, wenn ein Nutzer die Funktion „qfq_change_class“ mit einem falschen MTU-Wert des Netzwerkgeräts auslöst, das als „lmax“ verwendet wird. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen oder seine Berechtigungen für das System zu eskalieren.

Hoch

GKE on Azure

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels ein Out-of-Bounds-Speicherzugriffsfehler gefunden, wenn ein Nutzer die Funktion „qfq_change_class“ mit einem falschen MTU-Wert des Netzwerkgeräts auslöst, das als „lmax“ verwendet wird. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen oder seine Berechtigungen für das System zu eskalieren.

Hoch

GKE on Bare Metal

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Keine

GCP-2023-016

Veröffentlicht: 26. 06. 2023
Referenz: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GKE

Beschreibung Schweregrad

In Envoy, das in Cloud Service Mesh (ASM) verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese wurden separat als GCP-2023-002 gemeldet.

GKE wird nicht mit ASM ausgeliefert und ist von diesen Sicherheitslücken nicht betroffen.

Wie gehe ich am besten vor?

Wenn Sie ASM für Ihre GKE-Cluster separat installiert haben, lesen Sie bitte den Artikel GCP-2023-002.

Keine

GKE on VMware

Beschreibung Schweregrad

In Envoy, das in Cloud Service Mesh in GKE auf VMware verwendet wird, wurden mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) entdeckt. Sie ermöglichen es einem böswilligen Angreifer, einen Denial-of-Service-Angriff auszuführen oder Envoy zum Absturz zu bringen. Diese Probleme wurden separat als GCP-2023-002 gemeldet. Wir möchten jedoch darauf hinweisen, dass GKE Enterprise-Kunden ihre Versionen mit ASM aktualisieren müssen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durchzuführen:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-27496: Wenn Envoy mit dem aktivierten OAuth-Filter ausgeführt wird, kann ein böswilliger Akteur eine Anfrage erstellen, die einen Denial-of-Service-Angriff auslöst, indem Envoy zum Absturz gebracht wird.

CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsüberprüfungen zu umgehen, wenn „ext_authz“ verwendet wird.

CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrage-Headern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z. B. das SAN des Peer-Zertifikats.

CVE-2023-27492: Angreifer können große Anfragekörper für Routen senden, für die der Lua-Filter aktiviert ist, und Abstürze auslösen.

CVE-2023-27491: Angreifer können speziell erstellte HTTP/2- oder HTTP/3-Anfragen senden, um Parsingfehler beim HTTP/1-Upstream-Dienst auszulösen.

CVE-2023-27487: Der Header x-envoy-original-path sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht am Anfang der Anfrageverarbeitung aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Hoch

GKE on AWS

Beschreibung Schweregrad

In Envoy, das in Cloud Service Mesh verwendet wird, wurden mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) entdeckt. Diese wurden separat als GCP-2023-002 gemeldet.

GKE on AWS wird nicht mit ASM ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Keine

GKE on Azure

Beschreibung Schweregrad

In Envoy, das in Cloud Service Mesh verwendet wird, wurden mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) entdeckt. Diese wurden separat als GCP-2023-002 gemeldet.

GKE on Azure wird nicht mit ASM ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Keine

GKE on Bare Metal

Beschreibung Schweregrad

In Envoy, das in Cloud Service Mesh in GKE on Bare Metal verwendet wird, wurden mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) entdeckt. Sie ermöglichen es einem böswilligen Angreifer, einen Denial-of-Service-Angriff auszuführen oder Envoy zum Absturz zu bringen. Diese Probleme wurden separat als GCP-2023-002 gemeldet. Wir möchten jedoch darauf hinweisen, dass GKE Enterprise-Kunden ihre Versionen mit ASM aktualisieren müssen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on Bare Metal-Versionen durchzuführen:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-27496: Wenn Envoy mit dem aktivierten OAuth-Filter ausgeführt wird, kann ein böswilliger Akteur eine Anfrage erstellen, die einen Denial-of-Service-Angriff auslöst, indem Envoy zum Absturz gebracht wird.

CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsüberprüfungen zu umgehen, wenn „ext_authz“ verwendet wird.

CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrage-Headern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z. B. das SAN des Peer-Zertifikats.

CVE-2023-27492: Angreifer können große Anfragekörper für Routen senden, für die der Lua-Filter aktiviert ist, und Abstürze auslösen.

CVE-2023-27491: Angreifer können speziell erstellte HTTP/2- oder HTTP/3-Anfragen senden, um Parsingfehler beim HTTP/1-Upstream-Dienst auszulösen.

CVE-2023-27487: Der Header x-envoy-original-path sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht am Anfang der Anfrageverarbeitung aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Hoch

GCP-2023-015

Veröffentlicht: 2023-06-20
Referenz: CVE-2023-0468

GKE

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial-of-Service-Angriff auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-0468 wurde in io_uring/poll.c in io_poll_check_events in der io_uring-Unterkomponente im Linux-Kernel eine Use-After-Free-Sicherheitslücke gefunden. Dieser Fehler kann zu einer Dereferenzierung des NULL-Zeigers und möglicherweise zu einem Systemabsturz führen, der einen Denial-of-Service-Angriff zur Folge hat.

Mittel

GKE on VMware

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial-of-Service-Angriff auf dem Knoten führen kann.

GKE on VMware verwendet Version 5.4 des Linux-Kernels und ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

  • Keine Maßnahmen erforderlich
Keine

GKE on AWS

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial-of-Service-Angriff auf dem Knoten führen kann.

GKE on AWS ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

  • Keine Maßnahmen erforderlich
Keine

GKE on Azure

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial-of-Service-Angriff auf dem Knoten führen kann.

GKE on Azure ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

  • Keine Maßnahmen erforderlich
Keine

GKE on Bare Metal

Beschreibung Schweregrad

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial-of-Service-Angriff auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

  • Keine Maßnahmen erforderlich
Keine

GCP-2023-014

Veröffentlicht: 15. 06. 2023
Aktualisiert: 11. 08. 2023
Referenz: CVE-2023-2727, CVE-2023-2728

Aktualisierung vom 11.08.2023 : Es wurden Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und GKE on Bare Metal hinzugefügt.

GKE

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme entdeckt, bei denen Nutzer möglicherweise Container starten können, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder den ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden.

GKE verwendet keinen ImagePolicyWebhook und ist von CVE-2023-2727 nicht betroffen.

Alle GKE-Versionen sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2727 können Nutzer möglicherweise Container mithilfe von Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur dann betroffen, wenn das Zulassungs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch mithilfe von Validierungs-Webhooks wie Gatekeeper und Kyverno abgeschwächt werden, um dieselben Einschränkungen durchzusetzen.

Bei CVE-2023-2728 können Nutzer möglicherweise Container starten, die die Richtlinie für speicherbare Geheimnisse umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sitzungsspezifische Container verwendet werden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind von dieser Sicherheitslücke betroffen, wenn:

  • Das ServiceAccount-Zulassungs-Plug-in wird verwendet.
  • Die Anmerkung „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GKE on VMware

Aktualisiert: 11.08.2023

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme entdeckt, bei denen Nutzer möglicherweise Container starten können, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden. Anthos on VMware verwendet keinen ImagePolicyWebhook und ist von CVE-2023-2727 nicht betroffen.

Alle Versionen von Anthos auf VMware sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Aktualisierung vom 11.08.2023:Die folgenden Versionen von GKE auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durch:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2727 können Nutzer möglicherweise Container mithilfe von Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur dann betroffen, wenn das Zulassungs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch mithilfe von Validierungs-Webhooks wie Gatekeeper und Kyverno abgeschwächt werden, um dieselben Einschränkungen durchzusetzen.

Bei CVE-2023-2728 können Nutzer möglicherweise Container starten, die die Richtlinie für speicherbare Geheimnisse umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sitzungsspezifische Container verwendet werden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind von dieser Sicherheitslücke betroffen, wenn:

  • Das ServiceAccount-Zulassungs-Plug-in wird verwendet.
  • Die Anmerkung „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GKE on AWS

Aktualisiert: 11.08.2023

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme entdeckt, bei denen Nutzer möglicherweise Container starten können, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden.
Anthos on AWS verwendet keinen ImagePolicyWebhook und ist von CVE-2023-2727 nicht betroffen.
Alle Versionen von Anthos on AWS sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Aktualisierung vom 11. August 2023:Die folgende Version von GKE on AWS wurde mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on AWS-Version durch:

  • 1.15.2

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2727 können Nutzer möglicherweise Container mithilfe von Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur dann betroffen, wenn das Zulassungs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch mithilfe von Validierungs-Webhooks wie Gatekeeper und Kyverno abgeschwächt werden, um dieselben Einschränkungen durchzusetzen.

Bei CVE-2023-2728 können Nutzer möglicherweise Container starten, die die Richtlinie für speicherbare Geheimnisse umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sitzungsspezifische Container verwendet werden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind von dieser Sicherheitslücke betroffen, wenn:

  • Das ServiceAccount-Zulassungs-Plug-in wird verwendet.
  • Die Anmerkung „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GKE on Azure

Aktualisiert: 11.08.2023

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme entdeckt, bei denen Nutzer möglicherweise Container starten können, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden.
Anthos on Azure verwendet keinen ImagePolicyWebhook und ist von CVE-2023-2727 nicht betroffen.
Alle Versionen von Anthos on Azure sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Aktualisierung vom 11.08.2023:Die folgende Version von GKE in Azure wurde mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on Azure-Version durch:

  • 1.15.2

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2727 können Nutzer möglicherweise Container mithilfe von Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur dann betroffen, wenn das Zulassungs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch mithilfe von Validierungs-Webhooks wie Gatekeeper und Kyverno abgeschwächt werden, um dieselben Einschränkungen durchzusetzen.

Bei CVE-2023-2728 können Nutzer möglicherweise Container starten, die die Richtlinie für speicherbare Geheimnisse umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sitzungsspezifische Container verwendet werden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind von dieser Sicherheitslücke betroffen, wenn:

  • Das ServiceAccount-Zulassungs-Plug-in wird verwendet.
  • Die Anmerkung „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GKE on Bare Metal

Aktualisiert: 11.08.2023

Beschreibung Schweregrad

In Kubernetes wurden zwei neue Sicherheitsprobleme entdeckt, bei denen Nutzer möglicherweise Container starten können, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden.
Anthos on Bare Metal verwendet keinen ImagePolicyWebhook und ist von CVE-2023-2727 nicht betroffen.
Alle Versionen von Anthos on Bare Metal sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Aktualisierung vom 11. August 2023:Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal durch:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2727 können Nutzer möglicherweise Container mithilfe von Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur dann betroffen, wenn das Zulassungs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch mithilfe von Validierungs-Webhooks wie Gatekeeper und Kyverno abgeschwächt werden, um dieselben Einschränkungen durchzusetzen.

Bei CVE-2023-2728 können Nutzer möglicherweise Container starten, die die Richtlinie für speicherbare Geheimnisse umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sitzungsspezifische Container verwendet werden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind von dieser Sicherheitslücke betroffen, wenn:

  • Das ServiceAccount-Zulassungs-Plug-in wird verwendet.
  • Die Anmerkung „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
  • Pods verwenden sitzungsspezifische Container.
Mittel

GCP-2023-009

Veröffentlicht: 2023-06-06
Referenz: CVE-2023-2878

GKE

Beschreibung Schweregrad

Im secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, bei der ein Akteur mit Zugriff auf die Treiberprotokolle Dienstkontotokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen.

GKE ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE ist nicht betroffen. Wenn Sie jedoch die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer gepatchten Version aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde im secrets-store-csi-driver entdeckt. Ein Akteur mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert ist und der Treiber über das Flag „-v“ so eingestellt ist, dass er mit Protokollebene 2 oder höher ausgeführt wird.

Keine

GKE on VMware

Beschreibung Schweregrad

Im secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, bei der ein Akteur mit Zugriff auf die Treiberprotokolle Dienstkontotokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen.

GKE on VMware ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on VMware ist nicht betroffen. Wenn Sie jedoch die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer gepatchten Version aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde im secrets-store-csi-driver entdeckt. Ein Akteur mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert ist und der Treiber über das Flag „-v“ so eingestellt ist, dass er mit Protokollebene 2 oder höher ausgeführt wird.

Keine

GKE on AWS

Beschreibung Schweregrad

Im secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, bei der ein Akteur mit Zugriff auf die Treiberprotokolle Dienstkontotokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen.

GKE on AWS ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on AWS ist nicht betroffen. Wenn Sie jedoch die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer gepatchten Version aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde im secrets-store-csi-driver entdeckt. Ein Akteur mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert ist und der Treiber über das Flag „-v“ so eingestellt ist, dass er mit Protokollebene 2 oder höher ausgeführt wird.

Keine

GKE on Azure

Beschreibung Schweregrad

Im secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, bei der ein Akteur mit Zugriff auf die Treiberprotokolle Dienstkontotokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen.

GKE on Azure ist von diesem CVE nicht betroffen

Wie gehe ich am besten vor?

GKE on Azure ist nicht betroffen. Wenn Sie jedoch die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer gepatchten Version aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde im secrets-store-csi-driver entdeckt. Ein Akteur mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert ist und der Treiber über das Flag „-v“ so eingestellt ist, dass er mit Protokollebene 2 oder höher ausgeführt wird.

Keine

GKE on Bare Metal

Beschreibung Schweregrad

Im secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, bei der ein Akteur mit Zugriff auf die Treiberprotokolle Dienstkontotokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen.

GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

GKE on Bare Metal ist nicht betroffen. Wenn Sie jedoch die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer gepatchten Version aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde im secrets-store-csi-driver entdeckt. Ein Akteur mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf in Cloud Vault-Lösungen gespeicherte Geheimnisse zuzugreifen. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert ist und der Treiber über das Flag „-v“ so eingestellt ist, dass er mit Protokollebene 2 oder höher ausgeführt wird.

Keine

GCP-2023-008

Veröffentlicht: 05.06.2023
Referenz: CVE-2023-1872

GKE

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root-Berechtigungen auf dem Knoten führen kann. GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Use-After-Free-Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. Die Funktion io_file_get_fixed enthält keine ctx->uring_lock, was aufgrund einer Race-Bedingung zu einer Sicherheitslücke vom Typ „Use-After-Free“ führen kann, wenn feste Dateien nicht mehr registriert werden.

Hoch

GKE on VMware

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root-Berechtigungen auf dem Knoten führen kann.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Use-After-Free-Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. Die Funktion io_file_get_fixed enthält keine ctx->uring_lock, was aufgrund einer Race-Bedingung zu einer Sicherheitslücke vom Typ „Use-After-Free“ führen kann, wenn feste Dateien nicht mehr registriert werden.

Hoch

GKE on AWS

Beschreibung Schweregrad

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root-Berechtigungen auf dem Knoten führen kann.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen:

  • 1.15.1
  • Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2023-1872 ist eine Use-After-Free-Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. Die Funktion io_file_get_fixed enthält keine ctx->uring_lock, was aufgrund einer Race-Bedingung zu einer Sicherheitslücke vom Typ „Use-After-Free“ führen kann, wenn feste Dateien nicht mehr registriert werden.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root-Berechtigungen auf dem Knoten führen kann.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen:

  • 1.15.1
  • Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2023-1872 ist eine Use-After-Free-Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. Die Funktion io_file_get_fixed enthält keine ctx->uring_lock, was aufgrund einer Race-Bedingung zu einer Sicherheitslücke vom Typ „Use-After-Free“ führen kann, wenn feste Dateien nicht mehr registriert werden.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root-Berechtigungen auf dem Knoten führen kann.

    GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2023-005

    Veröffentlicht: 18. 05. 2023
    Aktualisiert: 06. 06. 2023
    Referenz: CVE-2023-1281, CVE-2023-1829

    Aktualisierung vom 06.06.2023 : Neue GKE-Versionen wurden aktualisiert und um die neuesten Ubuntu-Versionen mit Patches für CVE-2023-1281 und CVE-2023-1829 ergänzt.

    GKE

    Aktualisiert: 06.06.2023

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) entdeckt, die zu einer Berechtigungsausweitung auf Root auf dem Knoten führen können. GKE-Standardcluster sind betroffen.

    GKE Autopilot-Cluster und Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 06.06.2023:Ubuntu-Patchversionen sind verfügbar.

    Die folgenden GKE-Versionen wurden um die neuesten Ubuntu-Versionen mit Patches für CVE-2023-1281 und CVE-2023-1829 ergänzt:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Use-After-Free-Sicherheitslücken im Linux-Kernel-Traffic-Control-Index-Filter (tcindex), die ausgenutzt werden können, um eine lokale Rechteausweitung zu erreichen.

    Bei CVE-2023-1829 werden durch die Funktion „tcindex_delete“ in bestimmten Fällen Filter nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

    Bei CVE-2023-1281 kann der fehlerhafte Hash-Bereich während des Durchlaufens von Paketen aktualisiert werden. Dies führt zu einem „Use-After-Free“, wenn tcf_exts_exec() mit der zerstörten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Berechtigungen auf Root zu erhöhen.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) entdeckt, die zu einer Berechtigungsausweitung auf Root auf dem Knoten führen können.

    Wie gehe ich am besten vor?

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Use-After-Free-Sicherheitslücken im Linux-Kernel-Traffic-Control-Index-Filter (tcindex), die ausgenutzt werden können, um eine lokale Rechteausweitung zu erreichen.

    Bei CVE-2023-1829 werden durch die Funktion „tcindex_delete“ in bestimmten Fällen Filter nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

    Bei CVE-2023-1281 kann der fehlerhafte Hash-Bereich während des Durchlaufens von Paketen aktualisiert werden. Dies führt zu einem „Use-After-Free“, wenn tcf_exts_exec() mit der zerstörten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Berechtigungen auf Root zu erhöhen.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) entdeckt, die zu einer Berechtigungsausweitung auf Root auf dem Knoten führen können.

    Wie gehe ich am besten vor?

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Use-After-Free-Sicherheitslücken im Linux-Kernel-Traffic-Control-Index-Filter (tcindex), die ausgenutzt werden können, um eine lokale Rechteausweitung zu erreichen.

    Bei CVE-2023-1829 werden durch die Funktion „tcindex_delete“ in bestimmten Fällen Filter nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

    Bei CVE-2023-1281 kann der fehlerhafte Hash-Bereich während des Durchlaufens von Paketen aktualisiert werden. Dies führt zu einem „Use-After-Free“, wenn tcf_exts_exec() mit der zerstörten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Berechtigungen auf Root zu erhöhen.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) entdeckt, die zu einer Berechtigungsausweitung auf Root auf dem Knoten führen können.

    Wie gehe ich am besten vor?

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Use-After-Free-Sicherheitslücken im Linux-Kernel-Traffic-Control-Index-Filter (tcindex), die ausgenutzt werden können, um eine lokale Rechteausweitung zu erreichen.

    Bei CVE-2023-1829 werden durch die Funktion „tcindex_delete“ in bestimmten Fällen Filter nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

    Bei CVE-2023-1281 kann der fehlerhafte Hash-Bereich während des Durchlaufens von Paketen aktualisiert werden. Dies führt zu einem „Use-After-Free“, wenn tcf_exts_exec() mit der zerstörten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Berechtigungen auf Root zu erhöhen.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) entdeckt, die zu einer Berechtigungsausweitung auf Root auf dem Knoten führen können.

    GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2023-003

    Veröffentlicht: 11.04.2023
    Aktualisiert: 21.12.2023
    Referenz: CVE-2023-0240, CVE-2023-23586

    Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

    GKE

    Aktualisiert: 21. 12. 2023

    Beschreibung Schweregrad

    Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-0240 und CVE-2023-23586) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnten, seine Berechtigungen zu erweitern. GKE-Cluster, einschließlich Autopilot-Cluster, mit COS mit Linux-Kernel-Version 5.10 bis 5.10.162 sind betroffen. GKE-Cluster, die Ubuntu-Images oder GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sicherheitslücke 1 (CVE-2023-0240): Eine Race-Bedingung in io_uring kann zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen. Betroffen sind die Linux-Kernel-Versionen 5.10 bis 5.10.162.

    Sicherheitslücke 2 (CVE-2023-23586): Eine „Use-after-Free“-Lücke (UAF) in io_uring/time_ns kann zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen. Betroffen sind die Linux-Kernel-Versionen 5.10 bis 5.10.162.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-0240 und CVE-2023-23586) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnten, seine Berechtigungen zu erweitern. GKE on VMware-Cluster mit COS und Linux-Kernel-Version 5.10 bis 5.10.162 sind betroffen. GKE Enterprise-Cluster, die Ubuntu-Images verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen:

    • 1.12.6
    • 1.13.5

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Sicherheitslücke 1 (CVE-2023-0240): Eine Race-Bedingung in io_uring kann zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen. Betroffen sind die Linux-Kernel-Versionen 5.10 bis 5.10.162.

    Sicherheitslücke 2 (CVE-2023-23586): Eine „Use-after-Free“-Lücke (UAF) in io_uring/time_ns kann zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen. Betroffen sind die Linux-Kernel-Versionen 5.10 bis 5.10.162.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-0240 und CVE-2023-23586) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnten, seine Berechtigungen zu erweitern. GKE on AWS ist von diesen CVEs nicht betroffen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-0240 und CVE-2023-23586) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnten, seine Berechtigungen zu erweitern. GKE on Azure ist von diesen CVEs nicht betroffen

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-0240 und CVE-2023-23586) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnten, seine Berechtigungen zu erweitern. GKE on Bare Metal ist von diesen CVEs nicht betroffen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2023-001

    Veröffentlicht: 01.03.2023
    Aktualisiert: 21.12.2023
    Referenz: CVE-2022-4696

    Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

    GKE

    Beschreibung Schweregrad

    Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind davon betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Cluster und Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-4696 wurde im Linux-Kernel in io_uring und ioring_op_splice ein Use-After-Free-Problem gefunden. Dieser Fehler ermöglicht es einem lokalen Nutzer, eine lokale Berechtigungseskalierung zu erstellen.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware mit Version 1.12 und 1.13 ist betroffen. GKE on VMware mit Version 1.14 oder höher ist nicht betroffen.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durchzuführen:

    • 1.12.5
    • 1.13.5

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-4696 wurde im Linux-Kernel in io_uring und ioring_op_splice ein Use-After-Free-Problem gefunden. Dieser Fehler ermöglicht es einem lokalen Nutzer, eine lokale Berechtigungseskalierung zu erstellen.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS ist von dieser Sicherheitslücke nicht betroffen.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure ist von dieser Sicherheitslücke nicht betroffen.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun.

    Keine

    GCP-2022-026

    Veröffentlicht: 11.01.2023
    Referenz: CVE-2022-3786, CVE-2022-3602

    GKE

    Beschreibung Schweregrad

    In OpenSSL 3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu einem Absturz führen können. In der NVD-Datenbank wurde dieser Sicherheitsrisiko als „Hoch“ eingestuft. Da GKE-Endpunkte jedoch boringSSL oder eine ältere Version von OpenSSL verwenden, die nicht betroffen ist, wurde die Bewertung für GKE auf „Mittel“ herabgestuft.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-3786 und CVE-2022-3602 kann bei der X.509-Zertifikatsüberprüfung ein Pufferüberlauf ausgelöst werden, der zu einem Absturz und einer Dienstverweigerung führt. Damit diese Sicherheitslücke ausgenutzt werden kann, muss entweder eine Zertifizierungsstelle ein schädliches Zertifikat signiert haben oder eine Anwendung muss die Zertifikatsüberprüfung fortsetzen, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt werden konnte.

    Mittel

    GKE on VMware

    Beschreibung Schweregrad

    In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu einem Absturz führen können.

    Wie gehe ich am besten vor?

    GKE on VMware ist von diesem CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on AWS

    Beschreibung Schweregrad

    In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu einem Absturz führen können.

    Wie gehe ich am besten vor?

    GKE on AWS ist von diesem CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu einem Absturz führen können.

    Wie gehe ich am besten vor?

    GKE on Azure ist von dieser CVE nicht betroffen, da hier keine betroffene Version von OpenSSL verwendet wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu einem Absturz führen können.

    Wie gehe ich am besten vor?

    GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da hier keine betroffene Version von OpenSSL verwendet wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2022-025

    Veröffentlicht: 21.12.2022
    Aktualisiert: 19.01.2023, 21.12.2023
    Referenz: CVE-2022-2602

    Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

    Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.

    GKE

    Aktualisiert: 19.01.2023

    Beschreibung Schweregrad

    Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

    Im io_uring-Subsystem des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, möglicherweise beliebigen Code auszuführen. GKE-Cluster, einschließlich Autopilot-Cluster, sind davon betroffen.

    GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Update vom 19.01.2023:Version 1.21.14-gke.14100 ist verfügbar. Aktualisieren Sie Ihre Knotenpools auf diese Version oder höher.


    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in einer zukünftigen Version zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • Container-Optimized OS:
      • 1.22.16-gke.1300 und höher
      • 1.23.14-gke.401 und höher
      • 1.24.7-gke.900 und höher
      • 1.25.4-gke.1600 und höher
    • Ubuntu:
      • 1.22.15-gke.2500 und höher
      • 1.23.13-gke.900 und höher
      • 1.24.7-gke.900 und höher
      • 1.25.3-gke.800 und höher

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-2602 kann eine Race-Bedingung zwischen der io_uring-Anfrageverarbeitung und der Unix-Socket-Garbage Collection zu einer Use-After-Free-Sicherheitslücke führen. Ein lokaler Angreifer könnte dies nutzen, um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im io_uring-Subsystem des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, möglicherweise beliebigen Code auszuführen.

    Die Versionen 1.11, 1.12 und 1.13 von GKE on VMware sind betroffen.

    Wie gehe ich am besten vor?

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-2602 kann eine Race-Bedingung zwischen der io_uring-Anfrageverarbeitung und der Unix-Socket-Garbage Collection zu einer Use-After-Free-Sicherheitslücke führen. Ein lokaler Angreifer könnte dies nutzen, um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im io_uring-Subsystem des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, möglicherweise beliebigen Code auszuführen.

    Wie gehe ich am besten vor?

    Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen durchzuführen:

    • Aktuelle Generation:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Vorherige Generation:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-2602 kann eine Race-Bedingung zwischen der io_uring-Anfrageverarbeitung und der Unix-Socket-Garbage Collection zu einer Use-After-Free-Sicherheitslücke führen. Ein lokaler Angreifer könnte dies nutzen, um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im io_uring-Subsystem des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, möglicherweise beliebigen Code auszuführen.

    Wie gehe ich am besten vor?

    Die folgenden GKE on Azure-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen durchzuführen:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-2602 kann eine Race-Bedingung zwischen der io_uring-Anfrageverarbeitung und der Unix-Socket-Garbage Collection zu einer Use-After-Free-Sicherheitslücke führen. Ein lokaler Angreifer könnte dies nutzen, um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im io_uring-Subsystem des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, möglicherweise beliebigen Code auszuführen.

    GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2022-024

    Veröffentlicht: 09.11.2022
    Aktualisiert: 19.01.2023
    Referenz: CVE-2022-2585, CVE-2022-2588

    Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
    Aktualisierung vom 16.12.2022: Es wurden überarbeitete Patchversionen für GKE und GKE on VMware hinzugefügt.

    GKE

    Aktualisiert: 19.01.2023

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) entdeckt, die zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen können. GKE-Cluster, einschließlich Autopilot-Cluster, sind davon betroffen.

    GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Update vom 19.01.2023:Version 1.21.14-gke.14100 ist verfügbar. Aktualisieren Sie Ihre Knotenpools auf diese Version oder höher.

    Aktualisierung vom 16.12.2022:Eine vorherige Version des Bulletins wurde aufgrund einer Regression der Version überarbeitet. Bitte führen Sie ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durch:

    • 1.22.16-gke.1300 und höher
    • 1.23.14-gke.401 und höher
    • 1.24.7-gke.900 und höher
    • 1.25.4-gke.1600 und höher

    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    Updates für GKE v1.22, 1.23 und 1.25 werden demnächst verfügbar sein. Dieses Sicherheitsbulletin wird aktualisiert, sobald sie verfügbar sind.

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    • Bei CVE-2022-2585 kann eine fehlerhafte Bereinigung von Timern im POSIX-CPU-Timer je nach Erstellung und Löschung von Timern zu einem Use-After-Free-Angriff führen.
    • Bei CVE-2022-2588 wurde in der Funktion „route4_change“ des Linux-Kernels ein Use-After-Free-Problem gefunden. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen und möglicherweise zu einer lokalen Rechteausweitung zu führen.
    Hoch

    GKE on VMware

    Aktualisiert: 16.12.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) entdeckt, die zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen können.

    Die Versionen 1.13, 1.12 und 1.11 von GKE on VMware sind betroffen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 16.12.2022: Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durchzuführen:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Hinweis: Versionen von GKE on VMware, die Container-Optimized OS-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on VMware-Versionen zum Download zur Verfügung stehen.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    • Bei CVE-2022-2585 kann eine fehlerhafte Bereinigung von Timern im POSIX-CPU-Timer je nach Erstellung und Löschung von Timern zu einem Use-After-Free-Angriff führen.
    • Bei CVE-2022-2588 wurde in der Funktion „route4_change“ des Linux-Kernels ein Use-After-Free-Problem gefunden. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen und möglicherweise zu einer lokalen Rechteausweitung zu führen.
    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) entdeckt, die zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen können.

    Die folgenden Versionen von Kubernetes on AWS sind möglicherweise betroffen:

    • 1.23: Versionen älter als 1.23.9-gke.800 Neuere Nebenversionen sind nicht betroffen.
    • 1.22: Versionen älter als 1.22.12-gke.1100 Neuere Nebenversionen sind nicht betroffen.

    Kubernetes V1.24 ist nicht betroffen.

    Wie gehe ich am besten vor?

    Wir empfehlen Ihnen, ein Upgrade Ihrer Cluster auf eine der folgenden AWS-Kubernetes-Versionen durchzuführen:

    • 1.23: eine Version höher als 1.23.9-gke.800
    • 1.22: eine Version höher als 1.22.12-gke-1100

    Welche Sicherheitslücken werden behoben?

    Bei CVE-2022-2585 kann eine fehlerhafte Bereinigung von Timern im POSIX-CPU-Timer je nach Erstellung und Löschung von Timern zu einem Use-After-Free-Angriff führen.

    Bei CVE-2022-2588 wurde in der Funktion „route4_change“ des Linux-Kernels ein Use-After-Free-Problem gefunden. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen und möglicherweise zu einer lokalen Rechteausweitung zu führen.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) entdeckt, die zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen können.

    Die folgenden Versionen von Kubernetes on Azure sind möglicherweise betroffen:

    • 1.23: Versionen älter als 1.23.9-gke.800 Neuere Nebenversionen sind nicht betroffen.
    • 1.22: Versionen älter als 1.22.12-gke.1100 Neuere Nebenversionen sind nicht betroffen.

    Kubernetes V1.24 ist nicht betroffen.

    Wie gehe ich am besten vor?

    Wir empfehlen Ihnen, ein Upgrade Ihrer Cluster auf eine der folgenden Azure Kubernetes-Versionen durchzuführen:

    • 1.23: eine Version höher als 1.23.9-gke.800
    • 1.22: eine Version höher als 1.22.12-gke-1100

    Welche Sicherheitslücken werden behoben?

    Bei CVE-2022-2585 kann eine fehlerhafte Bereinigung von Timern im POSIX-CPU-Timer je nach Erstellung und Löschung von Timern zu einem Use-After-Free-Angriff führen.

    Bei CVE-2022-2588 wurde in der Funktion „route4_change“ des Linux-Kernels ein Use-After-Free-Problem gefunden. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen und möglicherweise zu einer lokalen Rechteausweitung zu führen.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) entdeckt, die zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen können.

    GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich.

    Keine

    GCP-2022-023

    Veröffentlicht: 2022-11-04
    Referenz: CVE-2022-39278

    GKE

    Beschreibung Schweregrad

    In Istio, das in Cloud Service Mesh verwendet wird, wurde die Sicherheitslücke CVE-2022-39278 entdeckt. Sie ermöglicht es einem böswilligen Angreifer, die Steuerungsebene zum Absturz zu bringen.

    Wie gehe ich am besten vor?

    Google Kubernetes Engine (GKE) wird nicht mit Istio ausgeliefert und ist von dieser Sicherheitslücke nicht betroffen. Wenn Sie Cloud Service Mesh oder Istio jedoch separat auf Ihrem GKE-Cluster installiert haben, finden Sie weitere Informationen im Cloud Service Mesh-Sicherheitsbulletin zu dieser CVE unter GCP-2022-020.

    Keine

    GKE on VMware

    Beschreibung Schweregrad

    In Istio, das in Cloud Service Mesh in GKE auf VMware verwendet wird, wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt, die es einem böswilligen Angreifer ermöglicht, die Istio-Steuerungsebene zum Absturz zu bringen.

    Wie gehe ich am besten vor?

    Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durchzuführen:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Die Istio-Steuerungsebene (istiod) ist aufgrund der Sicherheitslücke CVE-2022-39278 anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine spezielle Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    In Istio, das in Cloud Service Mesh verwendet wird, wurde die Sicherheitslücke CVE-2022-39278 entdeckt. Sie ermöglicht es einem böswilligen Angreifer, die Steuerungsebene zum Absturz zu bringen.

    Wie gehe ich am besten vor?

    GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Es sind keine Maßnahmen erforderlich.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    In Istio, das in Cloud Service Mesh verwendet wird, wurde die Sicherheitslücke CVE-2022-39278 entdeckt. Sie ermöglicht es einem böswilligen Angreifer, die Steuerungsebene zum Absturz zu bringen.

    Wie gehe ich am besten vor?

    GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Es sind keine Maßnahmen erforderlich.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    In Istio, das in Cloud Service Mesh in GKE on Bare Metal verwendet wird, wurde die Sicherheitslücke CVE-2022-39278 entdeckt. Sie ermöglicht es einem böswilligen Angreifer, die Istio-Steuerungsebene zum Absturz zu bringen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, Cluster auf eine der folgenden GKE on Bare Metal-Versionen umzustellen:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Die Istio-Steuerungsebene (istiod) ist aufgrund der Sicherheitslücke CVE-2022-39278 anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine spezielle Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

    Hoch

    GCP-2022-022-updated

    Veröffentlicht: 2022-12-08
    Referenz: CVE-2022-20409

    GKE

    Aktualisiert: 14.12.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Betroffen sind Cluster der Google Kubernetes Engine (GKE) v1.22, v1.23 und v1.24, einschließlich Autopilot-Cluster, die Container-Optimized OS-Version 93 und 97 verwenden. Andere unterstützte GKE-Versionen sind nicht betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14.12.2022:Eine vorherige Version des Bulletins wurde aufgrund einer Rückschritts bei der Veröffentlichung überarbeitet. Bitte führen Sie ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durch:

    • 1.22.15-gke.2500 und höher
    • 1.23.13-gke.900 und höher
    • 1.24.7-gke.900 und höher

    Die folgenden GKE-Versionen, die Container-Optimized OS 93 und 97 verwenden, wurden mit Code aktualisiert, um diese Sicherheitslücke in einer zukünftigen Version zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.22.15-gke.2300 und höher
    • 1.23.13-gke.700 und höher
    • 1.24.7-gke.700 und höher

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihren Release-spezifischen Kanal wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-20409 gibt es im Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring-Subsystems. Aufgrund einer UAF-Sicherheitslücke (Use-After-Free) besteht die Gefahr von Speicherbeschädigungen. Ein lokaler Angreifer könnte diese Speicherbeschädigung für einen Denial-of-Service-Angriff (Systemabsturz) oder möglicherweise zur Ausführung von beliebigem Code nutzen.

    Hoch

    GKE on VMware

    Aktualisiert: 14.12.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die zu einer lokalen Rechteausweitung führen kann.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14.12.2022:Die folgenden Versionen von GKE auf VMware für Ubuntu wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen durchzuführen:

    • 1.13.1 oder höher
    • 1.12.3 oder höher
    • 1.11.4 oder höher

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-20409 gibt es im Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring-Subsystems. Aufgrund einer UAF-Sicherheitslücke (Use-After-Free) besteht die Gefahr von Speicherbeschädigungen. Ein lokaler Angreifer könnte diese Speicherbeschädigung für einen Denial-of-Service-Angriff (Systemabsturz) oder zur Ausführung beliebigen Codes nutzen.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnte, die Ausführungsberechtigungen des Systems zu erweitern.

    Wie gehe ich am besten vor?

    Sie müssen nichts unternehmen. GKE on AWS verwendet die betroffenen Versionen des Linux-Kernels nicht.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-20409 gibt es im Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring-Subsystems. Aufgrund einer UAF-Sicherheitslücke (Use-After-Free) besteht die Gefahr von Speicherbeschädigungen. Ein lokaler Angreifer könnte diese Speicherbeschädigung für einen Denial-of-Service-Angriff (Systemabsturz) oder zur Ausführung beliebigen Codes nutzen.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnte, die Ausführungsberechtigungen des Systems zu erweitern.

    Wie gehe ich am besten vor?

    Sie müssen nichts unternehmen. GKE on Azure verwendet die betroffenen Versionen des Linux-Kernels nicht.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-20409 gibt es im Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring-Subsystems. Aufgrund einer UAF-Sicherheitslücke (Use-After-Free) besteht die Gefahr von Speicherbeschädigungen. Ein lokaler Angreifer könnte diese Speicherbeschädigung für einen Denial-of-Service-Angriff (Systemabsturz) oder zur Ausführung beliebigen Codes nutzen.

    Keine

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die zu einer lokalen Rechteausweitung führen kann.

    Wie gehe ich am besten vor?

    • Sie müssen nichts unternehmen. GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.
    Keine

    GCP-2022-021

    Veröffentlicht: 27.10.2022
    Aktualisiert: 19.01.2023, 21.12.2023
    Referenz: CVE-2022-3176

    Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

    Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
    Aktualisierung vom 15. Dezember 2022 : Die Informationen zur Version 1.21.14-gke.9400 der Google Kubernetes Engine wurden aktualisiert. Das Roll-out dieser Version steht noch aus und sie wird möglicherweise durch eine höhere Versionsnummer ersetzt.
    Aktualisierung vom 21.11.2022 : Es wurden Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure hinzugefügt.

    GKE

    Aktualisiert: 19.01.2023, 21.12.2023

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-3176) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

    Betroffen sind Cluster der Google Kubernetes Engine (GKE) v1.21, einschließlich Autopilot-Cluster, die Container-Optimized OS Version 89 verwenden. Höhere GKE-Versionen sind nicht betroffen. Alle Linux-Cluster mit Ubuntu sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Update vom 19.01.2023:Version 1.21.14-gke.14100 ist verfügbar. Aktualisieren Sie Ihre Knotenpools auf diese Version oder höher.

    Aktualisierung vom 15. Dezember 2022:Die Version 1.21.14-gke.9400 wird derzeit eingeführt und kann durch eine höhere Versionsnummer ersetzt werden. Wir aktualisieren diese Dokumentation, sobald diese neue Version verfügbar ist.


    Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in einer zukünftigen Version zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • Container-Optimized OS:
      • 1.21.14-gke.7100 und höher
    • Ubuntu:
      • 1.21.14-gke.9400 und höher
      • 1.22.15-gke.2400 und höher
      • 1.23.13-gke.800 und höher
      • 1.24.7-gke.800 und höher
      • 1.25.3-gke.700 und höher

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihren Release-spezifischen Kanal wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-3176 gibt es im Linux-Kernel eine Sicherheitslücke im io_uring-Subsystem. Eine fehlende POLLFREE-Verarbeitung kann zu Use-After-Free-Exploits (UAF) führen, die zur Eskalierung von Berechtigungen verwendet werden können.

    Hoch

    GKE on VMware

    Aktualisiert: 21.11.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-3176) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    • Versionen von GKE on VMware mit Container-Optimized OS sind nicht betroffen.

    Aktualisierung vom 21. November 2022:Die folgenden Versionen von GKE auf VMware für Ubuntu wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen durchzuführen:

    • 1.12.3 oder höher
    • 1.13.1 oder höher
    • 1.11.5 und höher

    Versionen von GKE on VMware, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on VMware-Versionen heruntergeladen werden können.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-3176 gibt es im Linux-Kernel eine Sicherheitslücke im io_uring-Subsystem. Eine fehlende POLLFREE-Verarbeitung kann zu Use-After-Free-Exploits (UAF) führen, die zur Eskalierung von Berechtigungen verwendet werden können.

    Hoch

    GKE on AWS

    Aktualisiert: 21.11.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-3176) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 21. November 2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen durchzuführen:

    Aktuelle Generation
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Vorherige Generation
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Versionen von GKE on AWS, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on AWS-Versionen zum Download zur Verfügung stehen.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-3176 gibt es im Linux-Kernel eine Sicherheitslücke im io_uring-Subsystem. Eine fehlende POLLFREE-Verarbeitung kann zu Use-After-Free-Exploits (UAF) führen, die zur Eskalierung von Berechtigungen verwendet werden können.

    Hoch

    GKE on Azure

    Aktualisiert: 21.11.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-3176) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 21. November 2022: Die folgenden Versionen von GKE in Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen durchzuführen:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Versionen von GKE on Azure, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on Azure-Versionen zum Download zur Verfügung stehen.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-3176 gibt es im Linux-Kernel eine Sicherheitslücke im io_uring-Subsystem. Eine fehlende POLLFREE-Verarbeitung kann zu Use-After-Free-Exploits (UAF) führen, die zur Eskalierung von Berechtigungen verwendet werden können.

    Hoch

    GKE on Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-3176) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Es sind keine weiteren Schritte erforderlich. GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

    Keine

    GCP-2022-018

    Veröffentlicht: 2022-08-01
    Aktualisiert: 14.09.2022, 21.12.2023
    Referenz: CVE-2022-2327

    Update vom 21. 12. 2023 : Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

    Aktualisierung vom 14.09.2022 : Es wurden Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure hinzugefügt.

    GKE

    Aktualisiert: 21. 12. 2023

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Technische Details

    Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

    Betroffen sind GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS (COS) mit Linux-Kernelversion 5.10. GKE-Cluster, die Ubuntu-Images oder GKE Sandbox verwenden, sind nicht betroffen.

    Was soll ich tun?

    Führen Sie ein Upgrade Ihrer GKE-Cluster auf eine Version durch, die die Korrektur enthält. Die Linux-Knoten-Images für COS wurden zusammen mit den GKE-Versionen aktualisiert, die diese COS-Versionen verwenden.

    Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    COS-Versionen

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, bei der bei verschiedenen Anfragen Artikeltypen (Flags) fehlen. Wenn Sie diese Anfragen ohne die richtigen Artikeltypen verwenden, kann es zu einer Rechteausweitung auf das Root-Verzeichnis kommen.
    Hoch

    GKE on VMware

    Aktualisiert: 14.09.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Betroffen sind Cluster mit einem COS-Image (Container-Optimized OS), das GKE on VMware-Versionen 1.10, 1.11 und 1.12 verwendet.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14.09.2022:Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.

    • 1.10.6 oder höher
    • 1.11.3 oder höher
    • 1.12.1 oder höher

    Versionen von GKE on VMware, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on VMware-Versionen heruntergeladen werden können.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, bei der bei verschiedenen Anfragen Artikeltypen (Flags) fehlen. Wenn Sie diese Anfragen ohne die richtigen Artikeltypen verwenden, kann es zu einer Rechteausweitung auf Root-Ebene kommen.

    Hoch

    GKE on AWS

    Aktualisiert: 14.09.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14.09.2022:Die folgenden aktuellen und vorherigen Versionen von GKE in AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen durchzuführen:

    Aktuelle Generation

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Vorherige Generation

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on AWS-Versionen zum Download zur Verfügung stehen.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, bei der bei verschiedenen Anfragen Artikeltypen (Flags) fehlen. Wenn Sie diese Anfragen ohne die richtigen Artikeltypen verwenden, kann es zu einer Rechteausweitung auf Root-Ebene kommen.

    Hoch

    GKE on Azure

    Aktualisiert: 14.09.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 14.09.2022:Die folgenden Versionen von GKE in Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen durchzuführen:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Versionen von GKE on Azure, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on Azure-Versionen zum Download zur Verfügung stehen.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, bei der bei verschiedenen Anfragen Artikeltypen (Flags) fehlen. Wenn Sie diese Anfragen ohne die richtigen Artikeltypen verwenden, kann es zu einer Rechteausweitung auf Root-Ebene kommen.

    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

    Keine

    GCP-2022-017

    Veröffentlicht: 29.06.2022
    Aktualisiert: 22.11.2022
    Referenz: CVE-2022-1786
    Aktualisierung vom 22.11.2022: Informationen zu Arbeitslasten mit GKE Sandbox wurden aktualisiert.
    Aktualisierung vom 21.07.2022 : Es wurden Informationen hinzugefügt, dass GKE on VMware-COS-Images betroffen sind.

    GKE

    Aktualisiert: 22.11.2022

    Beschreibung Schweregrad

    Aktualisierung vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.


    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für Container-Optimized OS für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden bevorstehenden GKE-Versionen durchzuführen:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Mit dem neuesten Feature für Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    In Verbindung mit CVE-2022-1786 wurde im io_uring-Subsystem des Linux-Kernels ein Use-After-Free-Problem gefunden. Wenn ein Nutzer einen Ring mit IORING_SETUP_IOPOLL mit mehreren Aufgaben einrichtet, die Einreichungen für den Ring abschließen, kann ein lokaler Nutzer das System abstürzen lassen oder seine Berechtigungen dafür eskalieren.

    Hoch

    GKE on VMware

    Aktualisiert: 14. 07. 2022

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Wie gehe ich am besten vor?

    Aktualisierung vom 21.07.2022:Die folgenden Versionen von GKE auf VMware enthalten Code, der diese Sicherheitslücke behebt.

    COS
    • 1.10.5 oder höher
    • 1.11.2 oder höher
    • 1.12.0 oder höher

    Ubuntu

    Sie müssen nichts unternehmen. GKE on VMware verwendet die betroffenen Versionen des Linux-Kernels nicht.

    Keine

    GKE on AWS

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. GKE on AWS verwendet die betroffenen Versionen des Linux-Kernels nicht.

    Keine

    GKE on Azure

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. GKE on Azure verwendet die betroffenen Versionen des Linux-Kernels nicht.

    Keine

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

    Keine

    GCP-2022-016

    Veröffentlicht: 23.06.2022
    Aktualisiert: 22.11.2022
    Referenz: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    22.11.2022 – Aktualisierung: Informationen zu Arbeitslasten, die in Autopilot-Clustern ausgeführt werden, hinzugefügt.
    Aktualisierung vom 29.07.2022 : Aktualisierte Versionen für GKE on VMware, GKE on AWS und GKE on Azure.

    GKE

    Aktualisiert: 22.11.2022

    Beschreibung Schweregrad

    Aktualisierung vom 22. November 2022:Autopilot-Cluster sind nicht von CVE-2022-29581 betroffen, aber anfällig für CVE-2022-29582 und CVE-2022-1116.


    Aktualisierung vom 29. Juli 2022: Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken.


    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für Container-Optimized OS und Ubuntu für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

    CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

    Hoch

    GKE on VMware

    Aktualisiert: 2022-07-29

    Beschreibung Schweregrad

    Aktualisierung vom 29. Juli 2022:Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücken behebt.

    • 1.9.7 oder höher
    • 1.10.5 oder höher
    • 1.11.2 oder höher
    • 1.12.0 oder höher


    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen GKE on VMware v1.9 und höher für Container-Optimized OS- und Ubuntu-Images.

    Wie gehe ich am besten vor?

    Versionen von GKE on VMware, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on VMware-Versionen zum Download zur Verfügung stehen.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

    CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

    Hoch

    GKE on AWS

    Aktualisiert: 2022-07-29

    Beschreibung Schweregrad

    Aktualisierung vom 29. Juli 2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen durchzuführen:

    Aktuelle Generation

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Vorherige Generation:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on AWS.

    Wie gehe ich am besten vor?

    Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on AWS-Versionen zum Download zur Verfügung stehen.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

    CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Aktualisierung vom 29. Juli 2022: Die folgenden Versionen von GKE in Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen durchzuführen:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on Azure.

    Wie gehe ich am besten vor?

    Versionen von GKE on Azure, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on Azure-Versionen zum Download zur Verfügung stehen.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

    CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

    Keine

    GCP-2022-014

    Veröffentlicht: 26.04.2022
    Aktualisiert: 22.11.2022
    Aktualisierung vom 22.11.2022: Informationen zu Arbeitslasten, die in Autopilot-Clustern ausgeführt werden, hinzugefügt.
    Aktualisierung vom 12.05.2022: Aktualisierte Patchversionen für GKE on AWS und GKE on Azure.
    Referenz: CVE-2022-1055, CVE-2022-27666

    GKE

    Aktualisiert: 22.11.2022

    Beschreibung Schweregrad

    Aktualisierung vom 22.11.2022:GKE Autopilot-Cluster und Arbeitslasten, die in der GKE Sandbox ausgeführt werden, sind von diesen Sicherheitslücken nicht betroffen.


    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden kommenden GKE-Versionen:

    • 1.19.16-gke.11000 und höher
    • 1.20.15-gke.5200 und höher
    • 1.21.11-gke.1100 und höher
    • 1.22.8-gke.200 und höher
    • 1.23.5-gke.1500 und höher

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Was soll ich tun?

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

    • 1.9.6 (anstehend)
    • 1.10.3
    • 1.11.0 (anstehend)

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    GKE on AWS

    Aktualisiert: 12.05.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12.05.2022: Die folgenden aktuellen und vorherigen Versionen von GKE in AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen durchzuführen:

    Aktuelle Generation
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Vorherige Generation
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    GKE on Azure

    Aktualisiert: 12.05.2022

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12.05.2022: Die folgenden Versionen von GKE in Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen durchzuführen:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

    Technische Details

    Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

    Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von diesem CVE nicht betroffen, da Linux nicht in seinem Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-1055 und CVE-2022-27666 enthalten.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Hoch

    GCP-2022-013

    Veröffentlicht: 11.04.2022
    Zuletzt aktualisiert: 20.04.2022
    Referenz: CVE-2022-23648
    22.04.2022 Update: Aktualisierte Patch-Versionen für Google Distributed Cloud Virtual for Bare Metal und GKE on VMware.

    GKE

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (Container-Optimized OS und Ubuntu), die standardmäßig containerd verwenden. Es sind alle GKE-, Autopilot- und GKE Sandbox-Knoten betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knoten auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

    Mittel

    GKE on VMware

    Aktualisiert: 22.04.2022

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE on VMware-Instanzen mit aktiviertem Stackdriver, der containerd verwendet. GKE on VMware-Versionen 1.8, 1.9 und 1.10 sind betroffen

    Wie gehe ich am besten vor?

    Aktualisierung vom 22. April 2022: Die folgenden Versionen von GKE auf VMware enthalten Code, der diese Sicherheitslücke behebt.

    • 1.9.5 oder höher
    • 1.10.3 oder höher
    • 1.11.0 oder höher

    Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen durchzuführen:

    • 1.8.8 oder höher
    • 1.9.5 oder höher
    • 1.10.2 oder höher

    Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

    Mittel

    GKE on AWS

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on AWS-Versionen sind betroffen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen durchzuführen.

    GKE on AWS (aktuelle Generation)
    • Version 1.22: 1.22.8-gke.200
    • Version 1.21: 1.21.11-gke.100
    GKE on AWS (vorherige Generation)
    • Version 1.22: 1.22.8-gke.300
    • Version 1.21: 1.21.11-gke.100
    • Version 1.20: 1.20.15-gke.2200

    Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

    Mittel

    GKE on Azure

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on Azure-Versionen sind betroffen.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten so auszuführen:

    • Version 1.22: 1.22.8-gke.200
    • Version 1.21: 1.21.11-gke.100

    Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

    Mittel

    Google Distributed Cloud Virtual for Bare Metal

    Aktualisiert: 22.04.2022

    Beschreibung Schweregrad

    Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

    Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle Google Distributed Cloud Virtual for Bare Metal-Instanzen, die containerd verwenden. Die Versionen 1.8, 1.9 und 1.10 von Google Distributed Cloud Virtual for Bare Metal sind betroffen

    Wie gehe ich am besten vor?

    Aktualisierung vom 22. April 2022: Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal enthalten Code, der diese Sicherheitslücke behebt.

    • 1.8.9 oder höher
    • 1.9.6 oder höher
    • 1.10.3 oder höher
    • 1.11.0 oder höher

    Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten auf eine der folgenden Google Distributed Cloud Virtual for Bare Metal-Versionen durchzuführen:

    • 1.8.8 oder höher
    • 1.9.5 oder höher
    • 1.10.2 oder höher

    Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

    Mittel

    GCP-2022-012

    Veröffentlicht: 2022-04-07
    Aktualisiert: 2022-11-22
    Referenz: CVE-2022-0847
    Aktualisierung vom 22.11.2022: Aktualisierte Informationen zu Arbeitslasten, die GKE Sandbox verwenden.

    GKE

    Aktualisiert: 22.11.2022

    Beschreibung Schweregrad

    Aktualisierung vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.


    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft alle GKE-Knotenpoolversionen ab v1.22, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher). GKE-Knotenpools, die das Ubuntu-Betriebssystem verwenden, sind nicht betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

    • 1.22.7-gke.1500 und höher
    • 1.23.4-gke.1600 und höher

    Mit der neuesten Funktion Release-Versionen können Sie eine Patchversion anderer Release-Versionen anwenden, ohne sich von einer Version abmelden zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

    Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Knotenpoolversionen von GKE integriert.

    Hoch

    GKE on VMware

    Beschreibung Schweregrad

    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft GKE on VMware v1.10 für Container-Optimized OS-Images. Derzeit befindet sich GKE on VMware mit Ubuntu auf der Kernel-Version 5.4 und ist nicht anfällig für diesen Angriff.

    Wie gehe ich am besten vor?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE on VMware-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Administrator- und Nutzercluster auf die folgende GKE on VMware-Version auszuführen:

    • 1.10.3

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

    Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Versionen von GKE auf VMware integriert.

    Hoch

    GKE on AWS

    Beschreibung Schweregrad

    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können.

    Diese Sicherheitslücke betrifft verwaltete Cluster von GKE on AWS v1.21 und Cluster, die auf GKE on AWS (vorherige Generation) v1.19, v1.20, v1.21 ausgeführt werden, die Ubuntu verwenden.

    Wie gehe ich am besten vor?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE on AWS-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen.

    Für verwaltete GKE on AWS empfehlen wir ein Upgrade Ihrer Nutzercluster und Knotenpools auf eine der folgenden Versionen:

    • 1.21.11-gke.100

    Für k-lite-GKE on AWS empfehlen wir ein Upgrade Ihrer AWSManagementService-, AWSCluster- und AWSNodePool-Objekte auf die folgende Version:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

    Hoch

    GKE on Azure

    Beschreibung Schweregrad

    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft verwaltete Cluster von GKE on Azure v1.21, die Ubuntu verwenden.

    Wie gehe ich am besten vor?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE on Azure-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Nutzercluster und Ihres Knotenpools auf die folgende Version durchzuführen:

    • 1.21.11-gke.100

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad

    Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können.

    Was soll ich tun?

    Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von diesem CVE nicht betroffen, da Linux nicht in seinem Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-0847 enthalten.

    Hoch

    GCP-2022-011

    Veröffentlicht: 22.03.2022
    Zuletzt aktualisiert: 11.08.2022

    Aktualisierung vom 11.08.2022 : Es wurden weitere Details zu den Auswirkungen der SMT-Fehlkonfiguration hinzugefügt.

    GKE

    Beschreibung Schweregrad

    Aktualisierung vom 11.08.2022:Es wurden weitere Informationen zur Konfiguration des gleichzeitigen Multi-Threadings (SMT) hinzugefügt. SMT sollte deaktiviert sein, war aber in den aufgeführten Versionen aktiviert.

    Wenn Sie SMT für einen Knotenpool in der Sandbox manuell aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert.


    Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Wenn Sie SMT für einen Knotenpool manuell aktiviert haben, wirkt sich dieses Problem nicht auf Ihre in der Sandbox ausgeführten Knoten aus.

    Was soll ich tun?

    Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen durch:

    • 1.22.6-gke.1500 und höher
    • 1.23.3-gke.1100 und höher

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Bei GKE-Sandbox-Knoten ist SMT standardmäßig deaktiviert, um Seitenkanalangriffe abzuschwächen.

    Mittel

    GCP-2022-009

    Veröffentlicht: 01.03.2022
    Zuletzt aktualisiert: 15.03.2022

    GKE

    Beschreibung Schweregrad

    Aktualisierung vom 15.03.2022:Es wurden Leitfäden zur Härtung für GKE on AWS und GKE on Azure hinzugefügt. Abschnitt zur Persistenz mit Webhooks hinzugefügt.


    Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden.

    Nutzer von GKE Standard- und GKE-Clustern können optional eine ähnliche Richtlinie zur Härtung anwenden, wie unten beschrieben.

    Technische Details

    Hostzugriff mit Richtlinienausnahmen von Drittanbietern

    Damit Google Cloud die vollständige Verwaltung von Knoten und ein SLA auf Pod-Ebene anbieten kann, beschränkt GKE Autopilot einige privilegierte Kubernetes-Primitive, um Arbeitslasten auf Low-Level-Zugriff auf die Knoten-VM zu beschränken. So legen Sie den Kontext fest: GKE Standard bietet vollständigen Zugriff auf das zugrunde liegende Computing, Autopilot bietet eingeschränkten Zugriff und Cloud Run bietet keinen Zugriff.

    Autopilot lockert einige dieser Einschränkungen für eine vordefinierte Liste von Drittanbietertools, sodass Kunden diese Tools auf Autopilot ohne Änderung ausführen können. Mithilfe von Berechtigungen zum Erstellen von Pods mit Hostpfadbereitstellungen konnte der Forscher einen privilegierten Container in einem Pod ausführen, der wie eines dieser Tools von Drittanbietern aussieht, um Zugriff auf den Host zu erhalten.

    Die Möglichkeit, Pods auf diese Weise zu planen, wird im GKE-Standard erwartet, aber nicht in GKE Autopilot, da die Hostzugriffseinschränkungen umgangen wurden, die zum Aktivieren des zuvor beschriebenen SLA verwendet wurden.

    Dieses Problem wurde durch eine Verkürzung der Pod-Spezifikation des Drittanbieters für Zulassungslisten behoben.

    Rechteausweitung von Root-auf-Knoten

    Zusätzlich zum Hostzugriff wurden die Pods stackdriver-metadata-agent-cluster-level und metrics-server als stark privilegiert identifiziert. Nachdem der Zugriff auf Stammebene auf den Knoten erfolgt ist, können diese Dienste zur weiteren Kontrolle des Clusters verwendet werden.

    Wir haben die stackdriver-metadata-agent sowohl für den GKE-Standard als auch für Autopilot verworfen und entfernt. Diese Komponente wird noch in GKE on VMware und Google Distributed Cloud Virtual for Bare Metal verwendet.

    Als Maßnahmen zur Systemhärtung, um diese Art von Angriff in Zukunft zu verhindern, werden wir in einer künftigen Version eine Autopilot-Einschränkung anwenden, die Aktualisierungen des Dienstkontos verschiedener Objekte im Namespace kube-system verhindert. Wir haben eine Gatekeeper-Richtlinie entwickelt, mit der Sie einen ähnlichen Schutz auf GKE-Standardcluster und GKE-Cluster anwenden können, um eine privilegierte Änderung der privilegierten Arbeitslast zu verhindern. Diese Richtlinie wird automatisch auf Autopilot-Cluster angewendet. Eine Anleitung finden Sie in den folgenden Anleitungen zur Härtung:


    Ergänzung am 15.03.2022: Persistenz mit mutierenden Webhooks

    In dem Bericht wurden mutierende Webhooks verwendet, um sich nach der Kompromittierung einen privilegierten Zugang zum Cluster zu verschaffen. Dies sind Standardteile der Kubernetes API, die von Clusteradministratoren erstellt und für Administratoren sichtbar gemacht werden, wenn Autopilot Unterstützung für benutzerdefinierte Webhooks hinzufügt.


    Privilegierte Dienstkonten im Standard-Namespace

    Autopilot-Richtlinienerzwinger haben zuvor zwei Dienstkonten im Standard-Namespace zugelassen: csi-attacher und otelsvc, um den Dienstkonten spezielle Berechtigungen zu erteilen. Ein Angreifer mit hohen Berechtigungen, einschließlich Berechtigungen zum Erstellen von ClusterRoleBinding-Objekten und mit Zugriff zum Erstellen von Pods im Standard-Namespace, kann mit diesen Dienstkontonamen auf diese zusätzlichen Berechtigungen zugreifen. Diese Dienste wurden unter den Namespace kube-system verschoben, um den Schutz der vorhandenen Autopilot-Richtlinie zu erhalten. GKE-Standardcluster und GKE-Cluster sind nicht betroffen.

    Wie gehe ich am besten vor?

    Die Richtlinien aller GKE Autopilot-Cluster wurden aktualisiert, um den unbeabsichtigten Hostzugriff zu entfernen, und keine weiteren Maßnahmen sind erforderlich.

    In den nächsten Wochen wird eine weitere Härtung der Richtlinien als sekundärer Schutz auf Autopilot angewendet. Sie müssen nichts weiter tun.

    GKE-Standardcluster und GKE-Cluster sind nicht betroffen, da Nutzer bereits Zugriff auf den Host haben. Als Systemstabilisierungsmaßnahme können GKE-Standardcluster und GKE-Clusternutzer einen ähnlichen Schutz mit einer Gatekeeper-Richtlinie anwenden, die die Selbstmodifikation privilegierter Arbeitslasten verhindert. Eine Anleitung finden Sie in den folgenden Anleitungen zur Härtung:

    Niedrig

    GCP-2022-008

    Veröffentlicht: 23. 02. 2022
    Aktualisiert: 28. 04. 2022
    Referenz: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    Beschreibung Schweregrad
    Das Envoy-Projekt hat kürzlich mehrere Sicherheitslücken festgestellt: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657 und CVE-2022-21656, die sich auf GKE-Cluster mit Anthos Service Mesh, Istio-on-GKE oder benutzerdefinierte Istio-Deployments auswirken können.
    Alle unten aufgeführten Probleme wurden im Envoy-Release 1.21.1 behoben.
    Technischer Hintergrund
    Weitere Details zu diesen Sicherheitslücken finden Sie hier.

    Was soll ich tun?

    GKE-Cluster, auf denen Anthos Service Mesh ausgeführt wird, sollten auf eine unterstützte Version aktualisiert werden, wobei die oben genannten Sicherheitslücken behoben werden.
    • Wenn Sie Anthos Service Mesh 1.12 verwenden, führen Sie ein Upgrade auf v1.12.4-asm.0 durch. .
    • Wenn Sie Anthos Service Mesh 1.11 verwenden, führen Sie ein Upgrade auf v1.11.7-asm.1 durch.
    • Wenn Sie Anthos Service Mesh 1.10 verwenden, führen Sie ein Upgrade auf v1.10.6-asm.1 durch.
    Wenn Sie Anthos Service Mesh Version 1.9 oder niedriger verwenden, ist Ihre Version abgelaufen und wird nicht mehr unterstützt. Diese CVE-Korrekturen wurden nicht zurückportiert. Sie sollten ein Upgrade auf ASM 1.10 oder höher ausführen.

    GKE-Cluster, auf denen Istio-on-GKE ausgeführt wird, sollten auf eine unterstützte Version aktualisiert werden, wobei die oben genannten Sicherheitslücken behoben werden
    • Wenn Sie Istio-on-GKE 1.6 verwenden, führen Sie ein Upgrade auf v1.6.14-gke.8 durch.
    • Wenn Sie Istio-on-GKE 1.4.11 verwenden, führen Sie ein Upgrade auf v1.4.11-gke.4 durch.
    • Wenn Sie Istio-on-GKE 1.4.10 verwenden, führen Sie ein Upgrade auf v1.4.10-gke.23 durch.
    • Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie bitte Istio GKE 1.4.10. Verwenden Sie andernfalls Istio-on-GKE 1.4.11.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656
    Hoch

    GKE on VMware

    Aktualisiert: 28. 04. 2022

    Beschreibung Schweregrad
    Envoy hat kürzlich mehrere Fehlerkorrekturen für Sicherheitslücken veröffentlicht. GKE on VMware ist betroffen, da Envoy mit Metrics-Server verwendet wird. Die von uns behobenen Envoy-CVEs sind unten aufgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind:
    • CVE-2021-43824 (CVSS-Punktzahl 6,5, mittel): Potenzieller Nullzeiger bei Verwendung der JWT-Filter-Safe_Regex-Übereinstimmung.
      Hinweis: Obwohl ASM/Istio-on-GKE keine Envoy-Filter unterstützt, können Sie betroffen sein, wenn Sie einen Regex-Filter für JWT verwenden.
    • CVE-2021-43825 (CVSS-Punktzahl 6,1, mittel): Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden.
    • CVE-2021-43826 (CVSS-Punktzahl 6,1, mittel): Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können aber trotzdem betroffen sein, wenn Sie einen Tunneling-Filter verwenden.
    • CVE-2022-21654 (CVSS-Punktzahl 7,3, hoch): Die falsche Konfigurationsbehandlung ermöglicht die Wiederverwendung von mTLS-Sitzungen ohne erneute Validierung, nachdem sich die Validierungseinstellungen geändert haben.
      Hinweis: Alle ASM-/Istio-on-GKE-Dienste, die mTLS verwenden, sind von diesem CVE betroffen.
    • CVE-2022-21655 (CVSS-Punktzahl 7,5, hoch): Falsche Verarbeitung interner Weiterleitungen an Routen mit einer direkten Antwort.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können aber trotzdem betroffen sein, wenn Sie einen Filter für direkte Antworten verwenden.
    • CVE-2022-23606 (CVSS-Punktzahl 4,4, mittel): Stacküberlastung, wenn ein Cluster über den Cluster Discovery-Dienst gelöscht wird.
      Hinweis: ASM 1.11 und höher ist von dieser CVE-Sicherheitslücke betroffen. ASM 1.10 und alle Istio-on-GKE-Umgebungen sind von diesem CVE nicht betroffen.
    • CVE-2022-21657 (CVSS Score 3,1, niedrig): Envoy bis Version 1.20.1 enthält eine per Fernzugriff ausnutzbare Sicherheitslücke, da X.509 Extended Key Usage and Trust Purposes umgangen wird.
    • CVE-2022-21656 (CVSS-Punktzahl 3,1, niedrig): Envoy bis Version 1.20.1 enthält eine per Fernzugriff ausnutzbare Sicherheitslücke, da der Abgleich von X.509 subjectAltName (und nameConstraints) umgangen wird.

    Istio hat kürzlich eine Fehlerkorrektur für eine Sicherheitslücke veröffentlicht. Anthos auf VMware ist betroffen, da Istio für eingehenden Traffic verwendet wird. Die von uns behobenen Istio CVEs sind unten aufgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind.

    CVE-2022-23635 (CVSS-Punktzahl 7,5, hoch): Istiod stürzt ab, wenn Anfragen mit einem speziell erstellten Autorisierungsheader empfangen werden.


    Die vollständigen Beschreibungen und Auswirkungen der oben genannten CVEs finden Sie in den Sicherheitsbulletins.

    Erweiterung vom 28. 04. 2020: Was soll ich tun?

    Mit den folgenden Versionen von GKE on VMware werden diese Sicherheitslücken behoben:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656
    Hoch

    Google Distributed Cloud Virtual for Bare Metal

    Beschreibung Schweregrad
    Envoy hat kürzlich mehrere Fehlerkorrekturen für Sicherheitslücken veröffentlicht. Anthos auf Bare-Metal ist betroffen, da Envoy für Metrics-Server verwendet wird. Die von Envoy behobenen CVEs in Version 1.10.3, 1.9.6 und 1.8.9 sind unten aufgeführt:
    • CVE-2021-43824 (CVSS-Punktzahl 6,5, mittel): Potenzieller Nullzeiger bei Verwendung der JWT-Filter-Safe_Regex-Übereinstimmung.
      Hinweis: Obwohl ASM/Istio-on-GKE keine Envoy-Filter unterstützt, können Sie betroffen sein, wenn Sie einen Regex-Filter für JWT verwenden.
    • CVE-2021-43825 (CVSS-Punktzahl 6,1, mittel): Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können jedoch betroffen sein, wenn Sie einen Filter zum Dekomprimieren verwenden.
    • CVE-2021-43826 (CVSS-Punktzahl 6,1, mittel): Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können aber trotzdem betroffen sein, wenn Sie einen Tunneling-Filter verwenden.
    • CVE-2022-21654 (CVSS-Punktzahl 7,3, hoch): Die falsche Konfigurationsbehandlung ermöglicht die Wiederverwendung von mTLS-Sitzungen ohne erneute Validierung, nachdem sich die Validierungseinstellungen geändert haben.
      Hinweis: Alle ASM-/Istio-on-GKE-Dienste, die mTLS verwenden, sind von diesem CVE betroffen.
    • CVE-2022-21655 (CVSS-Punktzahl 7,5, hoch): Falsche Verarbeitung interner Weiterleitungen an Routen mit einer direkten Antwort.
      Hinweis: ASM/Istio-on-GKE unterstützt zwar keine Envoy-Filter, Sie können aber trotzdem betroffen sein, wenn Sie einen Filter für direkte Antworten verwenden.
    • CVE-2022-23606 (CVSS-Punktzahl 4,4, mittel): Stacküberlastung, wenn ein Cluster über den Cluster Discovery-Dienst gelöscht wird.
      Hinweis: ASM 1.11 und höher ist von dieser CVE-Sicherheitslücke betroffen. ASM 1.10 und alle Istio-on-GKE-Umgebungen sind von diesem CVE nicht betroffen.
    • CVE-2022-21657 (CVSS Score 3,1, niedrig): Envoy bis Version 1.20.1 enthält eine per Fernzugriff ausnutzbare Sicherheitslücke, da X.509 Extended Key Usage and Trust Purposes umgangen wird.
    • CVE-2022-21656 (CVSS-Punktzahl 3,1, niedrig): Envoy bis Version 1.20.1 enthält eine per Fernzugriff ausnutzbare Sicherheitslücke, da der Abgleich von X.509 subjectAltName (und nameConstraints) umgangen wird.
    Istio hat kürzlich eine Fehlerkorrektur für eine Sicherheitslücke veröffentlicht. Anthos auf Bare Metal ist betroffen, da Istio für eingehenden Traffic verwendet wird. Die in der Version 1.10.3, 1.9.6 und 1.8.9 behobenen Istio-CVEs sind unten aufgeführt:

    • CVE-2022-23635 (CVSS-Punktzahl 7,5, hoch): Istiod stürzt ab, wenn Anfragen mit einem speziell erstellten Autorisierungsheader empfangen werden.
      Hinweis: Alle ASM-/Istio-on-GKE-Konfigurationen sind von diesem CVE betroffen.

    Die vollständigen Beschreibungen und Auswirkungen der oben genannten CVEs finden Sie in den Sicherheitsbulletins.

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656
    Hoch

    GCP-2022-006

    Veröffentlicht: 14.02.2022
    Aktualisiert: 16.05.2022
    Aktualisierung vom 16.05.2022: Die GKE-Version 1.19.16-gke.7800 oder höher wurde der Liste der Versionen hinzugefügt, die Code zur Behebung dieser Sicherheitslücke enthalten.
    Aktualisierung vom 12.05.2022: Aktualisieren Sie die Patchversionen für GKE, Google Distributed Cloud Virtual for Bare Metal, GKE on VMware und GKE on AWS. Das Sicherheitsbulletin für GKE on AWS wurde nicht angezeigt, wenn es am 23.02.2022 hinzugefügt wurde. Das Problem wurde behoben.

    GKE

    Beschreibung Schweregrad

    In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

    Was soll ich tun?

    Aktualisierung vom 16.05.2022: Zusätzlich zu den im 2022-05-12-Update genannten GKE-Versionen enthält die GKE-Version 1.19.16-gke.7800 oder höher auch Code, der dieses Problem behebt. Sicherheitslücke.


    Aktualisierung vom 12.05.2022: Die folgenden Versionen von GKE enthalten Code, mit dem diese Sicherheitslücke behoben wird:

    • 1.20.15-gke.5600 oder höher
    • 1.21.11-gke.1500 oder höher
    • 1.22.8-gke.1800 oder höher
    • 1.23.5-gke.1800 oder höher

    Aktualisierung vom 15.02.2022: Korrektur der gVisor-Anweisung.

    Die Sicherheitslücke befindet sich im cgroup_release_agent_write des Linux-Kernels in der Funktion kernel/cgroup/cgroup-v1.c und kann als Container-Aufschlüsselung verwendet werden. GKE ist vom Schutz des standardmäßigen AppArmor-Profils in Ubuntu und COS nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Felds "securityContext" des Pods oder Containers die Sicherheitsbeschränkungen für Pods gelockert haben. z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird. Zusätzlich zum standardmäßigen AppArmor-Profil schützen diese Funktionen auch vor der Sicherheitslücke:

    • GKE Autopilot ist aufgrund des standardmäßigen seccomp-Profils nicht betroffen.
    • Aktualisierung vom 15.02.2022: gVisor (GKE Sandbox) ist nicht betroffen, da gVisor keinen Zugriff auf das anfällige Systemaufruf auf dem Host zulässt.

    Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2022-0492

    Niedrig

    GKE-Cluster auf

    Beschreibung Schweregrad

    In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12.05.2022: Die folgenden Versionen von GKE auf VMware enthalten Code, der diese Sicherheitslücke behebt.

    COS
    • 1.8.8 oder höher
    • 1.9.5 oder höher
    • 1.10.2 oder höher
    • 1.11.0 oder höher
    Ubuntu
    • 1.9.6 oder höher
    • 1.10.3 oder höher
    • 1.11.0 oder höher

    Die Sicherheitslücke befindet sich im cgroup_release_agent_write des Linux-Kernels in der Kernel/cgroup/cgroup-v1.c-Funktion und kann als Container-Aufschlüsselung verwendet werden. GKE on VMware ist aufgrund des Schutzes durch das standardmäßige AppArmor-Profil unter Ubuntu und COS nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z.B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird.

    Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2022-0492

    Niedrig

    GKE on AWS

    Beschreibung Schweregrad

    In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12.05.2022: Die folgenden Versionen von GKE on AWS der aktuellen und vorherigen Generation enthalten Code, mit dem diese Sicherheitslücke behoben wird:

    Aktuelle Generation
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Vorherige Generation
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Aktualisierung vom 23.02.2022:Hinweis für GKE on AWS hinzugefügt.

    GKE on AWS der vorherigen und aktuellen Generationen sind aufgrund des Schutzes vom AppArmor-Standardprofil unter Ubuntu nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird.

    Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2022-0492

    Niedrig

    GKE Enterprise auf

    Beschreibung Schweregrad

    In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

    Wie gehe ich am besten vor?

    Aktualisierung vom 12.05.2022: Die folgenden Versionen von GKE in Azure enthalten Code, mit dem diese Sicherheitslücke behoben wird:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE on Azure ist aufgrund des Schutzes vom AppArmor-Standardprofil unter Ubuntu nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird.

    Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2022-0492

    Niedrig

    GCP-2022-005

    Veröffentlicht: 11.02.2022
    Aktualisiert: 15.02.2022
    Referenz: CVE-2021-43527

    GKE

    Beschreibung Schweregrad
    Aktualisierung vom 15.02.2022: Einige GKE-Versionen im ursprünglichen Bulletin wurden mit anderen Fehlerkorrekturen kombiniert und ihre Versionsnummern wurden vor der Veröffentlichung erhöht. Patches sind in den folgenden GKE-Versionen verfügbar:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Sowohl auf GKE-COS- als auch auf Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss.

    CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS#7 oder PKCS#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie NSS verwendet/konfiguriert wird.

    GKE verwendet libnss3 nicht für über das Internet zugängliche APIs. Die Auswirkungen sind auf den Hostcode beschränkt, der außerhalb von Containern ausgeführt wird. Dies ist aufgrund des minimalen Designs von Chrome OS klein. GKE-Code, der in Containern mit dem Basis-Image "golang" ausgeführt wird, ist nicht betroffen.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden GKE-Versionen durch:

    • 1.18-Version noch nicht bekannt
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Verwenden Sie eine GKE-Version vor 1.18? Sie verwenden eine GKE-Version aus SLA und sollten auf eine der unterstützten Versionen aktualisieren.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-43527

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können, abhängig davon, wie sie NSS konfigurieren, betroffen sein. Sowohl auf GKE on VMware-COS- als auch auf Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss.

    CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS \#7 oder PKCS \#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie sie NSS konfigurieren/verwenden. Anthos on VMware verwendet libnss3 nicht für öffentlich zugängliche APIs. Daher sind die Auswirkungen begrenzt und der Schweregrad dieses CVEs für GKE on VMware wird als Mittel bewertet.

    Wie gehe ich am besten vor?

    mehrere Tage.

    Die Versionen von Linux-Knoten-Images für die folgenden Anthos-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden Anthos-Versionen durch:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Verwenden Sie eine GKE on VMware-Version vor 1.18? Sie verwenden eine Anthos-Version ohne SLA und sollten ein Upgrade auf eine der unterstützten Versionen in Betracht ziehen.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-43527

    Mittel

    GKE Enterprise auf

    Beschreibung Schweregrad

    Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Bei Anthos-Clustern auf Azure-Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss.

    CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS#7 oder PKCS#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie sie NSS konfigurieren/verwenden. Anthos-Cluster in Azure verwenden libnss3 nicht für öffentlich zugängliche APIs. Daher sind die Auswirkungen begrenzt und der Schweregrad dieser CVEs für Anthos in Azure wird als "Mittel" bewertet.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE on Azure-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden Anthos on Azure-Versionen durch:

    • v1.21.6-gke.1500

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-43527

    Mittel

    GCP-2022-004

    Veröffentlicht: 2022-02-04
    Referenz: CVE-2021-4034

    GKE

    Beschreibung Schweregrad

    In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

    Was soll ich tun?

    GKE ist nicht betroffen, da das anfällige Modul "policykit-1" nicht auf COS- oder Ubuntu-Images installiert wird, die in GKE verwendet werden. Sie müssen nichts unternehmen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

    Die GKE Enterprise-Standardkonfiguration gewährt Nutzern bereits vollständige „sudo“-Berechtigungen, sodass dieser Exploit den vorhandenen Sicherheitsstatus von GKE Enterprise nicht ändert

    Technische Details

    Damit dieser Programmfehler ausgenutzt werden kann, benötigt ein Angreifer sowohl eine Nicht-Root-Shell im Knotendateisystem als auch die anfällige pkexec-Version. GKE on VMware umfasst zwar eine Version von policykit-1 in den zugehörigen Release-Images, doch die GKE Enterprise-Standardkonfiguration bietet bereits allen Nutzern mit Shell-Zugriff passwortlose „sudo“-Rechte, sodass diese Sicherheitslücke keine weiteren Berechtigungen erteilt.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun. GKE on VMware ist nicht betroffen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad
    GKE on AWS ist nicht betroffen. Das anfällige Modul „policykit-1“ ist nicht auf Ubuntu-Images installiert, die von den aktuellen und früheren Versionen von GKE on AWS verwendet werden. Keine

    GKE Enterprise auf

    Beschreibung Schweregrad

    In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

    Die GKE Enterprise-Standardkonfiguration gewährt Nutzern bereits vollständige „sudo“-Berechtigungen, sodass dieser Exploit den vorhandenen Sicherheitsstatus von GKE Enterprise nicht ändert

    Technische Details

    Damit dieser Programmfehler ausgenutzt werden kann, benötigt ein Angreifer sowohl eine Nicht-Root-Shell im Knotendateisystem als auch die anfällige pkexec-Version. GKE on Azure umfasst zwar eine Version von policykit-1 in den zugehörigen Release-Images, doch die GKE Enterprise-Standardkonfiguration bietet bereits allen Nutzern mit Shell-Zugriff passwortlose „sudo“-Rechte, sodass diese Sicherheitslücke keine weiteren Berechtigungen erteilt.

    Wie gehe ich am besten vor?

    Sie müssen nichts weiter tun. GKE on Azure ist nicht betroffen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad
    Google Distributed Cloud Virtual for Bare Metal kann abhängig von Paketen betroffen sein, die auf dem vom Kunden verwalteten Betriebssystem installiert sind. Scannen Sie Ihre Betriebssystem-Images und patchen Sie sie bei Bedarf.

    GCP-2022-002

    Veröffentlicht: 01.02.2022
    Zuletzt aktualisiert: 03.07.2022
    Referenz:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Aktualisierung vom 04.02.2022: Abschnitte für GKE on AWS und GKE on Azure hinzugefügt. Es wurden Rollout-Updates für GKE und GKE on VMware hinzugefügt.

    GKE

    Aktualisiert: 07.03.2022

    Beschreibung Schweregrad

    Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) und GKE on Azure.

    Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken.

    Weitere Informationen finden Sie in den COS-Versionshinweisen.

    Technische Details

    In CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter fsconfig ausnutzen, um im Linux-Kernel einen Use-after-Free-Programmfehler auszulösen, was zu Root-Berechtigungen führt. Dies ist ein lokaler Angriffspunkt zur Rechteausweitung, der zu einem Containerausfall führt.

    CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann.

    Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht.

    Der Exploit-Pfad für diese Sicherheitslücke, die auf dem Systemaufruf "Unshare" basiert, wird in GKE Autopilot-Clustern standardmäßig mithilfe von seccomp-Filterung blockiert.

    Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt.

    Was soll ich tun?

    Aktualisierung vom 7. März 2022: Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um alle diese Sicherheitslücken sowohl für Ubuntu- als auch für COS-Images zu beheben. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden GKE-Versionen durch:

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Aktualisierung vom 25. Februar 2022: Wenn Sie Ubuntu-Knoten-Images verwenden, reagiert 1.22.6-gke.1000 nicht auf CVE-2021-22600. Wir aktualisieren dieses Bulletin, sobald die Ubuntu-Patchversionen verfügbar sind.


    Aktualisierung vom 23.02.2022: Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Aktualisieren Sie Ihre Cluster auf eine der folgenden GKE-Versionen.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.


    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden GKE-Versionen.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    Außerdem werden die Versionen 1.22 und 1.23 ausgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Hoch

    GKE-Cluster auf

    Zuletzt aktualisiert: 23.02.2022

    Beschreibung Schweregrad

    Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) und GKE on Azure.

    Weitere Informationen finden Sie in den COS-Versionshinweisen.

    Technische Details

    In CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter fsconfig ausnutzen, um im Linux-Kernel einen Use-after-Free-Programmfehler auszulösen, was zu Root-Berechtigungen führt. Dies ist ein lokaler Angriffspunkt zur Rechteausweitung, der zu einem Containerausfall führt.

    CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann.

    Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht.

    Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt.

    Was soll ich tun?

    Aktualisierung vom 23. Februar 2022: Version 1.10.2 (Korrekturen von CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185) ist jetzt für den 1. März geplant.

    Aktualisierung vom 23.02.2022: Patchversionen wurden hinzugefügt, die auf CVE-2021-2260 reagieren.

    Version 1.10.1 behebt nicht CVE-2021-22600, sondern die anderen Sicherheitslücken. Die nicht freigegebenen Versionen 1.9.4 und 1.10.2 beheben CVE-2021-22600. Die Versionen von Linux-Knoten-Images für die folgenden GKE on VMware-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden GKE on VMware-Versionen durch:

    • 1.10.1 (behebt CVE-2021-4154 und CVE-2022-0185. Veröffentlicht am 10. Februar)
    • 1.8.7 (behebt CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185. Veröffentlicht am 17. Februar)
    • 1.9.4 (behebt CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185). Veröffentlicht am 23. Februar)
    • 1.10.2 (behebt CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185. (geplant für den 24. Februar)

    Aktualisierung vom 04.02.2022: Es wurden Informationen zu Ubuntu-Images hinzugefügt, die CVE-2021-22600 nicht berücksichtigen.

    Die Versionen von Linux-Knoten-Images für die folgenden GKE on VMware-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden GKE on VMware-Versionen durch:

    • 1.10.1 (nur COS-Update. Ubuntu-Patch ist ab dem 23. Februar in 1.10.2)
    • 1.9.4 (geplant für 15. Februar)
    • 1.8.7 (geplant für 15. Februar)

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) und GKE on Azure.

    Weitere Informationen finden Sie in den COS-Versionshinweisen.

    Technische Details

    In CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter fsconfig ausnutzen, um im Linux-Kernel einen Use-after-Free-Programmfehler auszulösen, was zu Root-Berechtigungen führt. Dies ist ein lokaler Angriffspunkt zur Rechteausweitung, der zu einem Containerausfall führt.

    CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann.

    Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht.

    Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt.

    Wie gehe ich am besten vor?

    GKE on AWS

    Die Versionen von Linux-Knoten-Images für die folgenden GKE on AWS-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf die folgende GKE on AWS-Version durch:

    • 1.21.6-gke.1500 und höher (verfügbar im Februar)

    GKE on AWS (vorherige Generation)

    Die Versionen von Linux-Knoten-Images für die folgenden GKE on AWS-Versionen (vorherige Generation) wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden GKE on AWS-Versionen (vorherige Generation) durch:

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Hoch

    GKE Enterprise auf

    Beschreibung Schweregrad

    Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) und GKE on Azure.

    Weitere Informationen finden Sie in den COS-Versionshinweisen.

    Technische Details

    In CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter fsconfig ausnutzen, um im Linux-Kernel einen Use-after-Free-Programmfehler auszulösen, was zu Root-Berechtigungen führt. Dies ist ein lokaler Angriffspunkt zur Rechteausweitung, der zu einem Containerausfall führt.

    CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann.

    Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht.

    Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt.

    Wie gehe ich am besten vor?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE on Azure-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf die folgende GKE on Azure-Version durch:

    • 1.21.6-gke.1500 und höher (verfügbar im Februar)

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Hoch

    GCP-2021-024

    Veröffentlicht: 21.10.2021
    Referenz: CVE-2021-25742

    GKE

    Beschreibung Schweregrad

    Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

    Wie gehe ich am besten vor?

    Dieses Sicherheitsproblem hat keine Auswirkungen auf die GKE-Clusterinfrastruktur oder die Clusterinfrastruktur von GKE Enterprise-Umgebungen. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

    Wie gehe ich am besten vor?

    Dieses Sicherheitsproblem hat keine Auswirkungen auf die GKE-Clusterinfrastruktur oder die Clusterinfrastruktur von GKE Enterprise-Umgebungen. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

    Wie gehe ich am besten vor?

    Dieses Sicherheitsproblem hat keine Auswirkungen auf die GKE-Clusterinfrastruktur oder die Clusterinfrastruktur von GKE Enterprise-Umgebungen. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

    Wie gehe ich am besten vor?

    Dieses Sicherheitsproblem hat keine Auswirkungen auf die GKE-Clusterinfrastruktur oder die Clusterinfrastruktur von GKE Enterprise-Umgebungen. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837.

    GCP-2021-019

    Veröffentlicht: 2021-09-29

    GKE

    Beschreibung Schweregrad

    Es gibt ein bekanntes Problem, bei dem eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, die eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus dem Dienst entfernt.

    Bin ich betroffen?

    Wenn Ihre BackendConfig bereits mit der v1beta1 API aktualisiert wurde, wurde Ihre Google Cloud Armor-Sicherheitsrichtlinie möglicherweise entfernt. Führen Sie den folgenden Befehl aus, um festzustellen, ob dies der Fall ist:

    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Wenn die Antwort eine Ausgabe zurückgibt: Ihr Cluster ist von diesem Problem betroffen. Die Ausgabe dieses Befehls gibt eine Liste der BackendConfig-Ressourcen zurück (<namespace>/<name>), die von dem Problem betroffen sind.
    • Wenn die Ausgabe leer ist: Ihre BackendConfig wurde seit dem Auftreten des Problems nicht mit der v1beta1 API aktualisiert. Alle zukünftigen Updates Ihrer BackendConfig sollten nur v1 verwenden.

    Dieses Problem betrifft die folgenden GKE-Versionen:

    • 1.18.19-gke.1400 bis 1.18.20-gke.5100 (ausschließlich)
    • 1.19.10-gke.700 bis 1.19.14-gke.300 (ausschließlich)
    • 1.20.6-gke.700 bis 1.20.9-gke.900 (ausschließlich)
    • 1.21 to 1.21.1-gke.2700 (ausschließlich)

    Wenn Sie Google Cloud Armor für Ihre Ingress-Ressourcen nicht über die BackendConfig konfigurieren, sind Ihre Cluster von diesem Problem nicht betroffen.

    Was soll ich tun?

    Führen Sie ein Upgrade Ihrer GKE-Steuerungsebene auf eine der folgenden aktualisierten Versionen durch, in denen dieses Problem behoben wurde und die sichere Verwendung von v1beta1-BackendConfig-Ressourcen möglich ist.

    • 1.21.1-gke.2700 und höher
    • 1.20.9-gke.900 und höher
    • 1.19.14-gke.300 und höher
    • 1.18.20-gke.5100 und höher

    Sie können dieses Problem auch verhindern, indem Sie die Bereitstellung von v1beta1-BackendConfig-Ressourcen vermeiden. Wenn Sie Google Cloud Armor über BackendConfig auf Ihren Ingress-Ressourcen konfigurieren und feststellen, dass Sie von den obigen Schritten betroffen sind, aktivieren Sie Google Cloud Armor wieder, indem Sie ein Update auf Ihre aktuelle BackendConfig-Ressource mit der API-Version cloud.google.com/v1 übertragen.

    Um dieses Problem zu vermeiden, aktualisieren Sie Ihre BackendConfig nur mithilfe der v1 BackendConfig API.

    Da die BackendConfig v1 dieselben Felder wie v1beta1 unterstützt und keine funktionsgefährdenden Änderungen vornimmt, kann das API-Feld transparent aktualisiert werden. Dazu ersetzen Sie das Feld apiVersion eines beliebigen BackendConfig-Manifests durch cloud.google.com/v1. Verwenden Sie nicht cloud.google.com/v1beta1.

    Das folgende Beispielmanifest beschreibt eine BackendConfig-Ressource, die die v1 API verwendet:

    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Wenn Sie CI/CD-Systeme oder -Tools haben, die regelmäßig BackendConfig-Ressourcen aktualisieren, achten Sie darauf, dass Sie die API-Gruppe cloud.google.com/v1 in diesen Systemen verwenden.

    Niedrig

    GCP-2021-022

    Veröffentlicht: 23.09.2021

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im AIS-LDAP-Modul (Anthos Identity Service) von GKE auf VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein Quellschlüssel zum Generieren von Schlüsseln vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

    Technische Details

    Eine kürzlich hinzugefügte Ergänzung für AIS-Code erstellt symmetrische Schlüssel mit dem "math/rand"-Modul von Golang, das für sicherheitsrelevanten Code nicht geeignet ist. Das Modul wird so verwendet, dass ein vorhersehbarer Schlüssel generiert wird. Während der Identitätsüberprüfung wird ein STS-Schlüssel (Secure Token Service) generiert, der anschließend mit einem einfach abzuleitenden symmetrischen Schlüssel verschlüsselt wird.

    Wie gehe ich am besten vor?

    Diese Sicherheitslücke betrifft nur Kunden, die AIS in GKE on VMware-Versionen 1.8 und 1.8.1 verwenden. Für Nutzer von GKE auf VMware 1.8 führen Sie ein Upgrade Ihrer Cluster auf die folgende Version aus:

    • 1.8.2
    Hoch

    GCP-2021-021

    Veröffentlicht: 22.09.2021
    Referenz: CVE-2020-8561

    GKE

    Beschreibung Schweregrad

    Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

    Technische Details

    Durch diese Sicherheitslücke können Nutzer, die die Antworten von MutatingWebhookConfiguration- oder ValidatingWebhookConfiguration-Anfragen steuern, kube-apiserver-Anfragen an private Netzwerke des API-Servers weiterleiten. Wenn dieser Nutzer kube-apiserver-Logs aufrufen kann, wenn die Logebene auf 10 festgelegt ist, kann der Nutzer die weitergeleiteten Antworten und Header in den Logs sehen.

    Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden.

    Was soll ich tun?

    Momentan müssen Sie nichts weiter tun.

    In den derzeit verfügbaren Versionen von GKE und GKE Enterprise sind die folgenden Schutzmaßnahmen implementiert, die vor dieser Art von Angriffen schützen:

    • Das Flag --profiling für kube-apiserver ist auf false gesetzt.
    • Die Logebene kube-apiserver ist auf einen Wert unter 10 festgelegt.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    <pCVE-2020-8561

    </p
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

    Technische Details

    Durch diese Sicherheitslücke können Nutzer, die die Antworten von MutatingWebhookConfiguration- oder ValidatingWebhookConfiguration-Anfragen steuern, kube-apiserver-Anfragen an private Netzwerke des API-Servers weiterleiten. Wenn dieser Nutzer kube-apiserver-Logs aufrufen kann, wenn die Logebene auf 10 festgelegt ist, kann der Nutzer die weitergeleiteten Antworten und Header in den Logs sehen.

    Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden.

    Was soll ich tun?

    Momentan müssen Sie nichts weiter tun.

    In den derzeit verfügbaren Versionen von GKE und GKE Enterprise sind die folgenden Schutzmaßnahmen implementiert, die vor dieser Art von Angriffen schützen:

    • Das Flag --profiling für kube-apiserver ist auf false gesetzt.
    • Die Logebene kube-apiserver ist auf einen Wert unter 10 festgelegt.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    <pCVE-2020-8561

    </p
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

    Technische Details

    Durch diese Sicherheitslücke können Nutzer, die die Antworten von MutatingWebhookConfiguration- oder ValidatingWebhookConfiguration-Anfragen steuern, kube-apiserver-Anfragen an private Netzwerke des API-Servers weiterleiten. Wenn dieser Nutzer kube-apiserver-Logs aufrufen kann, wenn die Logebene auf 10 festgelegt ist, kann der Nutzer die weitergeleiteten Antworten und Header in den Logs sehen.

    Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden.

    Was soll ich tun?

    Momentan müssen Sie nichts weiter tun.

    In den derzeit verfügbaren Versionen von GKE und GKE Enterprise sind die folgenden Schutzmaßnahmen implementiert, die vor dieser Art von Angriffen schützen:

    • Das Flag --profiling für kube-apiserver ist auf false gesetzt.
    • Die Logebene kube-apiserver ist auf einen Wert unter 10 festgelegt.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    <pCVE-2020-8561

    </p
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

    Technische Details

    Durch diese Sicherheitslücke können Nutzer, die die Antworten von MutatingWebhookConfiguration- oder ValidatingWebhookConfiguration-Anfragen steuern, kube-apiserver-Anfragen an private Netzwerke des API-Servers weiterleiten. Wenn dieser Nutzer kube-apiserver-Logs aufrufen kann, wenn die Logebene auf 10 festgelegt ist, kann der Nutzer die weitergeleiteten Antworten und Header in den Logs sehen.

    Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden.

    Was soll ich tun?

    Momentan müssen Sie nichts weiter tun.

    In den derzeit verfügbaren Versionen von GKE und GKE Enterprise sind die folgenden Schutzmaßnahmen implementiert, die vor dieser Art von Angriffen schützen:

    • Das Flag --profiling für kube-apiserver ist auf false gesetzt.
    • Die Logebene kube-apiserver ist auf einen Wert unter 10 festgelegt.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    <pCVE-2020-8561

    </p
    Mittel

    GCP-2021-018

    Veröffentlicht: 15.09.2021
    Aktualisiert: 24.09.2021
    Referenz: CVE-2021-25741

    Aktualisierung vom 24.09.2021: GKE on Bare Metal-Bulletin mit zusätzlichen Patchversionen aktualisiert.

    Aktualisierung vom 20.09.2021: Bulletins für GKE on Bare Metal hinzugefügt

    Aktualisierung vom 16.09.2021: Bulletins für GKE on VMware hinzugefügt


    GKE

    Beschreibung Schweregrad

    Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

    Technische Details:

    In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.

    Was soll ich tun?

    Wir empfehlen Ihnen, ein Upgrade Ihrer Knotenpools auf eine der folgenden Versionen oder höher durchzuführen, um die neuesten Patches zu nutzen:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    Die folgenden Versionen enthalten ebenfalls die Korrektur:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

    Technische Details:

    In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.

    Was soll ich tun?

    Aktualisiert am 24.09.2021: Die Patchversionen 1.8.3 und 1.7.4 sind jetzt verfügbar.

    Aktualisiert am 17.09.2021: Die Liste der verfügbaren Versionen, die den Patch enthalten, wurde korrigiert.


    Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Administratorcluster und Nutzercluster auf eine der folgenden Versionen durch:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

    Technische Details:

    In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.

    Was soll ich tun?

    Aktualisierung vom 16.09.2021: Liste der unterstützten gke-Versionen für AWSCluster- und AWSNodePool-Objekte hinzugefügt.


    Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Folgendes:

    • Führen Sie ein Upgrade Ihrer AWSManagementService-, AWSCluster- und AWSNodePool-Objekte auf die folgende Version durch:
      • 1.8.2
    • Aktualisieren Sie die gke-Version Ihrer AWSCluster- und AWSNodePool-Objekte auf eine der unterstützten Kubernetes-Versionen:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

    Technische Details:

    In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.

    Wie gehe ich am besten vor?

    Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Administratorcluster und Nutzercluster auf eine der folgenden Versionen durch:

    • 1.8.3
    • 1.7.4
    Hoch

    GCP-2021-017

    Veröffentlicht: 01.09.2021
    Aktualisiert: 23.09.2021
    Referenz: CVE-2021-33909
    CVE-2021-33910

    GKE

    Beschreibung Schweregrad
    Aktualisierung vom 23.09.2021:

    Container, die in GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke durch Angriffe aus dem Container nicht betroffen.


    Aktualisierung vom 15.09.2021:

    Die folgenden GKE-Versionen beheben die Sicherheitslücken:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

    Technische Details:

    In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt.
    Durch CVE-2021-33910 hat systemd eine Speicherzuweisung mit einem übermäßigen Wert für die Größe (einschließlich strdupa und alloca für einen Pfadnamen, der von einem lokalen Angreifer gesteuert wird), was zu einem Betriebssystemabsturz führt.

    Was soll ich tun?

    Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

    Technische Details:

    In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt.
    Durch CVE-2021-33910 hat systemd eine Speicherzuweisung mit einem übermäßigen Wert für die Größe (einschließlich strdupa und alloca für einen Pfadnamen, der von einem lokalen Angreifer gesteuert wird), was zu einem Betriebssystemabsturz führt.

    Wie gehe ich am besten vor?

    Die Versionen von Linux-Knoten-Images für GKE in AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

    Technische Details:

    In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt.
    Durch CVE-2021-33910 hat systemd eine Speicherzuweisung mit einem übermäßigen Wert für die Größe (einschließlich strdupa und alloca für einen Pfadnamen, der von einem lokalen Angreifer gesteuert wird), was zu einem Betriebssystemabsturz führt.

    Wie gehe ich am besten vor?

    Die Versionen von Linux- und COS-Knoten-Images für GKE auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (nur Linux)

    Siehe Versionsverlauf – Kubernetes- und Knoten-Kernel-Versionen.

    Hoch

    GCP-2021-015

    Veröffentlicht: 13.07.2021
    Aktualisiert: 15.07.2021
    Referenz: CVE-2021-22555

    GKE

    Beschreibung Schweregrad

    Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und GKE on VMware unter Linux-Version 2.6.19 oder höher.

    Technische Details

    Bei diesem Angriff kann ein ausgehender Schreibvorgang in setsockopt im Subsystem netfilter unter Linux zu einer Heap-Beschädigung (und damit Denial of Service) und einer Rechteausweitung führen.

    Was soll ich tun?

    Die folgenden Linux-Versionen in GKE wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-22555

    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und GKE on VMware unter Linux-Version 2.6.19 oder höher.

    Technische Details

    Bei diesem Angriff kann ein ausgehender Schreibvorgang in setsockopt im Subsystem netfilter unter Linux zu einer Heap-Beschädigung (und damit Denial of Service) und einer Rechteausweitung führen.

    Wie gehe ich am besten vor?

    Die folgenden Linux-Versionen in GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:

    • 1.8
    • 1.7.3
    • 1.6.4

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    CVE-2021-22555

    Hoch

    GCP-2021-014

    Veröffentlicht: 2021-07-05
    Referenz: CVE-2021-34527

    GKE

    Beschreibung Schweregrad

    Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

    Was soll ich tun?

    Sie müssen nichts unternehmen. GKE-Windows-Knoten enthalten den betroffenen Warteschlangendienst nicht im Basis-Image. GKE-Windows-Deployments sind daher von diesem Angriff nicht gefährdet.

    Welche Sicherheitslücken werden mit diesem Bulletin behoben?

    Hoch

    GCP-2021-012

    Veröffentlicht: 01.07.2021
    Aktualisiert: 09.07.2021
    Referenz: CVE-2021-34824

    GKE

    Beschreibung Schweregrad

    Was soll ich tun?

    Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können.

    Technische Details:

    Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet.

    Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind.

    Was soll ich tun?

    GKE-Cluster führen Istio nicht standardmäßig aus und verwenden, falls aktiviert, die Istio-Version 1.6, die für diesen Angriff nicht anfällig ist. Wenn Sie Istio im Cluster auf Istio 1.8 oder höher installiert oder darauf aktualisiert haben, führen Sie ein Upgrade auf Istio auf die neueste unterstützte Version durch.

    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Was soll ich tun?

    Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können.

    Technische Details:

    Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet.

    Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind.

    Was soll ich tun?

    Anthos-Cluster auf VMware v1.6 und v1.7 sind von diesem Angriff nicht gefährdet. Anthos-Cluster auf VMware 1.8 sind dagegen bedroht.

    Wenn Sie Anthos-Cluster unter VMware v1.8 verwenden, führen Sie ein Upgrade auf die folgende Patchversion oder höher durch:

    • 1.8.0-gke.25
    Hoch

    GKE-Cluster auf

    Beschreibung Schweregrad

    Was soll ich tun?

    Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können.

    Technische Details:

    Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet.

    Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Cluster, die mit Anthos-Cluster auf Bare Metal v1.8.0 erstellt oder aktualisiert wurden, sind von diesem CVE betroffen.

    Was soll ich tun?

    Die Anthos-Versionen 1.6 und 1.7 sind von diesem Angriff nicht gefährdet. Wenn Sie v1.8.0-Cluster haben, laden Sie die Version 1.8.1 von bmctl herunter, installieren Sie sie und aktualisieren Sie Ihre Cluster auf die folgende Patchversion:

    • 1.8.1
    Hoch

    GCP-2021-011

    Veröffentlicht: 04.06.2021
    Aktualisiert: 19.10.2021
    Referenz: CVE-2021-30465

    Aktualisierung vom 19.10.2021: Bulletins für GKE on VMware, GKE on AWS und GKE on Bare Metal hinzugefügt.

    GKE

    Beschreibung Schweregrad

    Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

    Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

    Technische Details

    Das Paket runc ist bei der Bereitstellung eines Volumes anfällig für einen Symlink-Exchange-Angriff.

    Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung.

    Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit.

    Was soll ich tun?

    Mit einem neu veröffentlichten Patch für runc (1.0.0-rc95) wird diese Sicherheitslücke behoben.

    Führen Sie ein Upgrade Ihres GKE-Clusters auf eine der folgenden aktualisierten Versionen durch:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

    Da für die Ausnutzung dieser Sicherheitslücke bei GKE on VMware das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

    Technische Details

    Das Paket runc ist bei der Bereitstellung eines Volumes anfällig für einen Symlink-Exchange-Angriff.

    Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung.

    Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit.

    Was soll ich tun?

    Mit einem neu veröffentlichten Patch für runc wird diese Sicherheitslücke behoben. Führen Sie ein Upgrade von GKE on VMware auf eine der folgenden Versionen durch:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

    Da es sich um eine Sicherheitslücke auf Betriebssystemebene handelt, ist GKE on AWS nicht anfällig.

    Technische Details

    Das Paket runc ist bei der Bereitstellung eines Volumes anfällig für einen Symlink-Exchange-Angriff.

    Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung.

    Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit.

    Wie gehe ich am besten vor?

    Achten Sie darauf, dass die Betriebssystemversion, auf der Sie GKE on AWS ausführen, auf die neueste Betriebssystemversion aktualisiert wird, die ein aktualisiertes runc-Paket hat.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

    Da es sich um eine Sicherheitslücke auf Betriebssystemebene handelt, ist GKE on Bare Metal nicht anfällig.

    Technische Details

    Das Paket runc ist bei der Bereitstellung eines Volumes anfällig für einen Symlink-Exchange-Angriff.

    Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung.

    Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit.

    Wie gehe ich am besten vor?

    Achten Sie darauf, dass die Betriebssystemversion, auf der Sie Google Distributed Cloud Virtual for Bare Metal ausführen, auf die neueste Betriebssystemversion aktualisiert ist, die ein aktualisiertes runc-Paket hat.

    Keine

    GCP-2021-006

    Veröffentlicht: 11.05.2021
    Referenz: CVE-2021-31920

    GKE

    Beschreibung Schweregrad

    Das Istio-Projekt legte kürzlich eine neue Sicherheitslücke offen (CVE-2021-31920), die Istio betrifft.

    Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der eine HTTP-Anfrage mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

    Was soll ich tun?

    Wir empfehlen dringend, GKE-Cluster zu aktualisieren und neu zu konfigurieren. Bitte führen Sie die beiden folgenden Schritte aus, um die Sicherheitslücke erfolgreich zu schließen:

    1. Cluster aktualisieren: Führen Sie so bald wie möglich die folgenden Schritte aus, um Ihre Cluster auf die neuesten Patchversionen zu aktualisieren:
      • Wenn Sie Istio in GKE 1.6 verwenden:

        Die neueste Patch-Version ist 1.6.14-gke.3. Folgen Sie der Upgrade-Anleitung, um Ihre Cluster auf die neueste Version zu aktualisieren.

      • Wenn Sie Istio in GKE 1.4 verwenden:
      • Istio on GKE 1.4-Releases werden von Istio nicht mehr unterstützt und CVE-Fehler werden nicht an diese Versionen zurückportiert. Folgen Sie den Anleitungen für das Istio-Upgrade, um Ihre Cluster auf 1.6 zu aktualisieren. Folgen Sie dann der obigen Anleitung, um die neueste Version von Istio in GKE 1.6 zu erhalten.

    2. Istio konfigurieren:

      Sobald Ihre Cluster gepatcht sind, müssen Sie Istio in GKE neu konfigurieren. Informationen zur richtigen Konfiguration Ihres Systems finden Sie im Leitfaden zu Best Practices für die Sicherheit.

    Hoch

    GCP-2021-004

    Veröffentlicht: 06.05.2021
    Referenz: CVE-2021-28683, CVE -2021-28682, CVE-2021-2958

    GKE

    Beschreibung Schweregrad

    In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-2958, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen.

    GKE-Cluster führen Istio nicht standardmäßig aus und sind nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein.

    Was soll ich tun?

    Aktualisieren Sie Ihre GKE-Steuerungsebene auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-2958, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen.

    GKE auf VMware verwendet standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial of Service sind.

    Wie gehe ich am besten vor?

    Aktualisieren Sie GKE auf VMware auf eine der folgenden Patchversionen, sobald diese veröffentlicht sind, um diese Sicherheitslücken zu beheben:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Mittel

    GKE-Cluster auf

    Aktualisiert: 06.05.2021

    Beschreibung Schweregrad

    In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-2958, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen.

    Da Google Distributed Cloud Virtual for Bare Metal standardmäßig Envoy für Ingress verwendet wird, sind Ingress-Dienste unter Umständen anfällig für Denial of Service.

    Wie gehe ich am besten vor?

    Aktualisieren Sie Ihren Google Distributed Cloud Virtual for Bare Metal-Cluster auf eine der folgenden Patchversionen, sobald diese veröffentlicht sind, um diese Sicherheitslücken zu beheben:

    • 1.6.3
    • 1.7.1
    Mittel

    GCP-2021-003

    Veröffentlicht: 19.04.2021
    Referenz: CVE-2021-25735

    GKE

    Beschreibung Schweregrad

    Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben (CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

    In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

    Was soll ich tun?

    Um diese Sicherheitslücke zu beheben, aktualisieren Sie Ihren GKE-Cluster auf eine der folgenden Patchversionen:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben (CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

    In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

    Was soll ich tun?

    Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben (CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

    In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

    Was soll ich tun?

    Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben (CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

    In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

    Was soll ich tun?

    Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft.

    Mittel

    GCP-2021-001

    Veröffentlicht: 28.01.2021
    Referenz: CVE-2021-3156

    GKE

    Beschreibung Schweregrad

    Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

    Google Kubernetes Engine-Cluster (GKE) sind von dieser Sicherheitslücke nicht betroffen:

    • Nutzer, die zum Herstellen einer SSH-Verbindung zu GKE-Knoten autorisiert sind, gelten bereits als stark privilegiert. Sie können mit sudo von Grund auf Root-Berechtigungen erhalten. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
    • Die meisten GKE-Systemcontainer basieren auf Distroless-Basis-Images, auf denen keine Shell und auch nicht sudo installiert ist. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

    Was soll ich tun?

    Da GKE-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

    GKE wird den Patch für diese Sicherheitslücke in die regelmäßigen künftigen Releases übernehmen.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

    GKE on VMware ist von dieser Sicherheitslücke nicht betroffen:

    • Nutzer, die zum Herstellen einer SSH-Verbindung zu GKE auf VMware-Knoten autorisiert sind, gelten bereits als stark privilegiert. Sie können mit sudo von Grund auf Root-Berechtigungen erhalten. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
    • Die meisten GKE on VMware-Systemcontainer basieren auf Distroless-Basis-Images, auf denen keine Shell und auch nicht sudo installiert ist. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

    Wie gehe ich am besten vor?

    Da GKE auf VMware-Clustern von dieser Sicherheitslücke nicht betroffen ist, sind keine weiteren Maßnahmen erforderlich.

    GKE auf VMware wird den Patch für diese Sicherheitslücke in regelmäßigen Releases anwenden.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

    GKE on AWS ist von dieser Sicherheitslücke nicht betroffen:

    • Nutzer, die zum Herstellen einer SSH-Verbindung zu GKE auf AWS-Knoten autorisiert sind, gelten bereits als stark privilegiert. Sie können mit sudo von Grund auf Root-Berechtigungen erhalten. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
    • Die meisten GKE on AWS-Systemcontainer basieren auf Distroless-Basis-Images, auf denen keine Shell und auch nicht sudo installiert ist. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

    Wie gehe ich am besten vor?

    Da GKE auf AWS-Clustern von dieser Sicherheitslücke nicht betroffen ist, sind keine weiteren Maßnahmen erforderlich.

    GKE on AWS wird den Patch für diese Sicherheitslücke in regelmäßigen Releases anwenden.

    Keine

    GKE-Cluster auf

    Beschreibung Schweregrad

    Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

    Google Distributed Cloud Virtual for Bare Metal-Cluster sind von dieser Sicherheitslücke nicht betroffen:

    • Nutzer, die für die SSH-Verbindung zu Google Distributed Cloud Virtual for Bare Metal-Knoten autorisiert sind, gelten bereits als stark privilegiert. Sie können über sudo Root-Berechtigungen erhalten. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
    • Die meisten Google Distributed Cloud Virtual for Bare Metal-Systemcontainer basieren auf Basis-Images, auf denen keine Shell oder sudo installiert ist. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

    Wie gehe ich am besten vor?

    Da Google Distributed Cloud Virtual for Bare Metal-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

    Google Distributed Cloud Virtual for Bare Metal wird den Patch für diese Sicherheitslücke in regelmäßigen Releases anwenden.

    Keine

    GCP-2020-015

    Veröffentlicht: 07.12.2020
    Aktualisiert: 22.12.2021
    Referenz: CVE-2020-8554

    Aktualisierung vom 22.12.2021: Verwendet gcloud beta anstelle des Befehls gcloud.

    Aktualisierung vom 15.12.2021: Zusätzliche Abhilfe für GKE.

    GKE

    Beschreibung Schweregrad
    Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aktualisiert am 15.12.2021: Für GKE ist jetzt die folgende Korrektur verfügbar:
    1. Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen von einem DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
    2. Kunden, die ein Upgrade auf die GKE-Version 1.21 ausführen, können mit dem folgenden Befehl Dienste mit ExternalIPs blockieren:
      gcloud container clusters update –no-enable-service-externalips
      

    Weitere Informationen finden Sie unter Clustersicherheit härten.


    Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen.

    Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

    Von dieser Sicherheitslücke sind alle GKE-Cluster (Google Kubernetes Engine) betroffen.

    Was soll ich tun?

    Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben.

    Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion.

    Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:

    1. Verwenden Sie GKE Enterprise Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und wenden Sie sie an. Beispiel:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Oder installieren Sie einen Admission-Controller, um die Verwendung von externen IP-Adressen zu verhindern. Das Kubernetes-Projekt hat einen Beispiel-Admission-Controller für diese Aufgabe bereitgestellt.

    Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die container.services.updateStatus-Berechtigung haben, die zum Ausnutzen dieser Sicherheitslücke erforderlich ist.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad
    Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aktualisiert am 15.12.2021: Für GKE ist jetzt die folgende Korrektur verfügbar:
    1. Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen von einem DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
    2. Kunden, die ein Upgrade auf die GKE-Version 1.21 ausführen, können mit dem folgenden Befehl Dienste mit ExternalIPs blockieren:
      gcloud container clusters update –no-enable-service-externalips
      

    Weitere Informationen finden Sie unter Clustersicherheit härten.


    Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen.

    Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

    Von dieser Sicherheitslücke sind alle GKE on VMware-Cluster betroffen.

    Wie gehe ich am besten vor?

    Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben.

    Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion.

    Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:

    1. Verwenden Sie GKE Enterprise Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und wenden Sie sie an. Beispiel:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Oder installieren Sie einen Admission-Controller, um die Verwendung von externen IP-Adressen zu verhindern. Das Kubernetes-Projekt hat einen Beispiel-Admission-Controller für diese Aufgabe bereitgestellt.

    Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die container.services.updateStatus-Berechtigung haben, die zum Ausnutzen dieser Sicherheitslücke erforderlich ist.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad
    Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Aktualisiert am 15.12.2021: Für GKE ist jetzt die folgende Korrektur verfügbar:
    1. Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen von einem DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
    2. Kunden, die ein Upgrade auf die GKE-Version 1.21 ausführen, können mit dem folgenden Befehl Dienste mit ExternalIPs blockieren:
      gcloud container clusters update –no-enable-service-externalips
      

    Weitere Informationen finden Sie unter Clustersicherheit härten.


    Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen.

    Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

    Von dieser Sicherheitslücke sind alle GKE on AWS-Dienste betroffen.

    Wie gehe ich am besten vor?

    Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben.

    Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion.

    Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:

    1. Verwenden Sie GKE Enterprise Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und wenden Sie sie an. Beispiel:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Oder installieren Sie einen Admission-Controller, um die Verwendung von externen IP-Adressen zu verhindern. Das Kubernetes-Projekt hat einen Beispiel-Admission-Controller für diese Aufgabe bereitgestellt.

    Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die container.services.updateStatus-Berechtigung haben, die zum Ausnutzen dieser Sicherheitslücke erforderlich ist.

    Mittel

    GCP-2020-014

    Veröffentlicht: 20.10.2020
    Referenz: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Aktualisiert: 20.10.2020

    Beschreibung Schweregrad

    Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

    • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
    • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
    • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
    • CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

    GKE ist nicht betroffen.

    Was soll ich tun?

    Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

    Keine

    GKE-Cluster auf

    Updated: 10.10.2020

    Beschreibung Schweregrad

    Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

    • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
    • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
    • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
    • CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

    GKE on VMware ist nicht betroffen.

    Wie gehe ich am besten vor?

    Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

    Keine

    GKE-Cluster auf

    Aktualisiert: 20.10.2020

    Beschreibung Schweregrad

    Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

    • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
    • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
    • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
    • CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

    GKE on AWS ist nicht betroffen.

    Was soll ich tun?

    Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

    GCP-2020-012

    Veröffentlicht: 14.09.2020
    Referenz: CVE-2020-14386

    GKE

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

    Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

    Was soll ich tun?

    Sie können als Gegenmaßnahme für diese Sicherheitslücke ein Upgrade Ihrer Steuerungsebene durchführen. Aktualisieren Sie dann Ihre Knoten auf eine der unten aufgelisteten Patchversionen.

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    e Ausnutzung dieser Sicherheitslücke erfordert CAP_NET_RAW, aber nur sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über PodSecurityPolicy oder den Policy Controller blockiert werden:

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy. Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder durch Verwendung von Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und Anwendung der Vorlage. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

    Die Sicherheitslücke CVE-2020-14386, über die Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Arbeitsspeichers schreiben und den Container möglicherweise maskieren können, um Root-Berechtigungen auf dem Hostknoten zu erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

    Hoch

    GKE-Cluster auf

    Aktualisiert: 17.09.2020

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

    Alle GKE on VMware-Knoten sind betroffen.

    Wie gehe ich am besten vor?

    Um diese Sicherheitslücke zu schließen, aktualisieren Sie Ihren Cluster auf eine Patchversion. Die Sicherheitslücken werden in den folgenden {gke_on_prem_name}}-Versionen behoben. Dieses Bulletin wird aktualisiert, sobald die Patchversionen verfügbar sind:

    • GKE on VMware 1.4.3 ist jetzt verfügbar.
    • GKE on VMware 1.3.4 ist jetzt verfügbar.

    e Ausnutzung dieser Sicherheitslücke erfordert CAP_NET_RAW, aber nur sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über PodSecurityPolicy oder den Policy Controller blockiert werden:

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy. Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder durch Verwendung von Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und Anwendung der Vorlage. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

    Die Sicherheitslücke CVE-2020-14386, über die Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Arbeitsspeichers schreiben und den Container möglicherweise maskieren können, um Root-Berechtigungen auf dem Hostknoten zu erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

    Hoch

    GKE-Cluster auf

    Aktualisiert: 13.10.2020

    Beschreibung Schweregrad

    Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

    Alle GKE on AWS-Knoten sind betroffen.

    Wie gehe ich am besten vor?

    Um diese Sicherheitslücke zu schließen, aktualisieren Sie Ihren Verwaltungsdienst und Ihre Nutzercluster auf eine Patchversion. Bei den folgenden geplanten GKE on AWS-Versionen oder bei neueren Versionen wird diese Sicherheitslücke geschlossen. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy. Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder durch Verwendung von Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und Anwendung der Vorlage. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

    Die Sicherheitslücke CVE-2020-14386, über die Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Arbeitsspeichers schreiben und den Container möglicherweise maskieren können, um Root-Berechtigungen auf dem Hostknoten zu erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

    Hoch

    GCP-2020-011

    Veröffentlicht: 24.07.2020
    Referenz: CVE-2020-8558

    GKE

    Beschreibung Schweregrad

    Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

    Damit ein Angreifer diese Sicherheitslücke in GKE-Clustern ausnutzen kann, muss er Netzwerkadministratorberechtigungen für die Google Cloud haben, in der die VPC des Clusters gehostet wird. Die Sicherheitslücke allein verleiht einem Angreifer keine Netzwerkadministratorberechtigungen. Aus diesem Grund wurde dieser Sicherheitslücke in GKE ein niedriger Schweregrad zugewiesen.

    Was soll ich tun?

    Führen Sie zum Beheben dieser Sicherheitslücke ein Upgrade für die Knotenpools Ihres Clusters auf die folgenden GKE-Versionen (oder höher) aus:

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558.

    Niedrig

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

    Was soll ich tun?

    Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Die folgenden geplanten GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

    • GKE on VMware 1.4.1

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

    Damit diese Sicherheitslücken in Nutzerclustern behoben werden können, muss ein Angreifer Quellzielprüfungen auf den EC2-Instanzen im Cluster deaktivieren. Dazu muss der Angreifer auf den EC2-Instanzen AWS-IAM-Berechtigungen für ModifyInstanceAttribute oder ModifyNetworkInterfaceAttribute haben. Aus diesem Grund wurde dieser Sicherheitslücke in GKE on AWS ein niedriger Schweregrad zugewiesen.

    Wie gehe ich am besten vor?

    Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Bei den folgenden geplanten Versionen von GKE on AWS oder neueren Versionen soll diese Sicherheitslücke behoben werden:

    • GKE on AWS 1.4.1-gke.17

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558.

    Niedrig

    GCP-2020-009

    Veröffentlicht: 15.07.2020
    Referenz: CVE-2020-8559

    GKE

    Beschreibung Schweregrad

    Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

    Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu.

    Was soll ich tun?

    Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Cluster werden in den nächsten Wochen automatisch aktualisiert und die Patchversionen werden bis zum 19. Juli 2020 verfügbar sein, um den Plan für ein manuelles Upgrade zu beschleunigen. Die folgenden (oder neueren) Versionen der GKE-Steuerungsebene enthalten die Fehlerkorrektur für diese Sicherheitslücke:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

    Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu.

    Was soll ich tun?

    Aktualisieren Sie Ihr Cluster auf eine Patchversion. Die folgenden geplanten GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

    Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu.

    Was soll ich tun?

    GKE on AWS GA (1.4.1, verfügbar ab Ende Juli 2020) oder höher enthält den Patch für diese Sicherheitslücke. Wenn Sie eine ältere Version verwenden, laden Sie eine neue Version des anthos-gke-Befehlszeilentools herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten.

    Mittel

    GCP-2020-007

    Veröffentlicht: 01.06.2020
    Referenz: CVE-2020-8555

    GKE

    Beschreibung Schweregrad

    Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

    Was soll ich tun?

    Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Die überwiegende Mehrheit der Cluster führt bereits eine Patchversion aus. Bei den folgenden GKE-Versionen sowie alle neueren Versionen wurde diese Sicherheitslücke behoben:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Cluster mit Release-Versionen verwenden bereits Versionen der Steuerungsebene mit Risikominderung.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte.

    Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann kube-controller-manager dazu veranlassen, GET-Anfragen oder POST-Anfragen ohne von ihm kontrolliertem Anfragetext über das Master-Hostnetzwerk zu senden. Diese Volume-Typen werden selten auf GKE verwendet. Neue Nutzungsfälle dieser Volume-Typen können also ein hilfreiches Signal zur Angriffserkennung sein.

    Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von GET/POST beispielsweise durch Logs zurück an den Angreifer zu senden, kann das zur Offenlegung von vertraulichen Informationen führen. Wir haben die entsprechenden Speichertreiber aktualisiert, um das Risiko von Schwachstellen zu beheben.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

    Wie gehe ich am besten vor?

    Die folgenden GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

    • Anthos 1.3.0

    Wenn Sie eine frühere Version verwenden, aktualisieren Sie Ihren vorhandenen Cluster auf eine Version, die diese Fehlerkorrektur enthält.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte.

    Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann kube-controller-manager dazu veranlassen, GET-Anfragen oder POST-Anfragen ohne von ihm kontrolliertem Anfragetext über das Master-Hostnetzwerk zu senden. Diese Volume-Typen werden selten auf GKE verwendet. Neue Nutzungsfälle dieser Volume-Typen können also ein hilfreiches Signal zur Angriffserkennung sein.

    Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von GET/POST beispielsweise durch Logs zurück an den Angreifer zu senden, kann das zur Offenlegung von vertraulichen Informationen führen. Wir haben die entsprechenden Speichertreiber aktualisiert, um das Risiko von Schwachstellen zu beheben.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

    Was soll ich tun?

    GKE on AWS v0.2.0 oder höher enthält den Patch für diese Sicherheitslücke bereits. Wenn Sie eine ältere Version verwenden, laden Sie eine neue Version des anthos-gke-Befehlszeilentools herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte.

    Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann kube-controller-manager dazu veranlassen, GET-Anfragen oder POST-Anfragen ohne von ihm kontrolliertem Anfragetext über das Master-Hostnetzwerk zu senden. Diese Volume-Typen werden selten auf GKE verwendet. Neue Nutzungsfälle dieser Volume-Typen können also ein hilfreiches Signal zur Angriffserkennung sein.

    Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von GET/POST beispielsweise durch Logs zurück an den Angreifer zu senden, kann das zur Offenlegung von vertraulichen Informationen führen. Wir haben die entsprechenden Speichertreiber aktualisiert, um das Risiko von Schwachstellen zu beheben.

    Mittel

    GCP-2020-006

    Veröffentlicht: 01.06.2020
    Referenz: Kubernetes-Problem 91507

    GKE

    Beschreibung Schweregrad

    Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patchversion auszuführen.

    Wie gehe ich am besten vor?

    Sie können als Gegenmaßnahme für diese Sicherheitslücke ein Upgrade Ihrer Steuerungsebene durchführen. Aktualisieren Sie dann Ihre Knoten auf eine der unten aufgelisteten Patchversionen. Cluster mit Release-Versionen führen sowohl auf der Steuerungsebene als auch auf Knoten bereits Patchversionen aus:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig durch PodSecurityPolicy-Controller oder Anthos Policy Controller blockiert werden.

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy. Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder durch Verwendung von Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und Anwendung der Vorlage. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

    Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die CAP_NET_RAW-Funktion (im standardmäßigen Container-Funktionsset enthalten) den IPv6-Stack auf dem Knoten schädlich konfigurieren und den Knoten-Traffic an den vom Angreifer kontrollierten Container weiterleiten. Dadurch kann der Angreifer ausgehenden und eingehenden Traffic des Knotens abfangen und ändern. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patchversion auszuführen.

    Wie gehe ich am besten vor?

    Führen Sie ein Upgrade Ihrer Cluster auf die folgende Version oder höher aus, um diese Sicherheitslücke für GKE on VMware zu verringern:
    • Anthos 1.3.2

    Normalerweise benötigen nur sehr wenige Container CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über Anthos Policy Controller oder durch Aktualisieren Ihrer Pod-Spezifikationen blockiert werden:

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy. Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder durch Verwendung von Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und Anwendung der Vorlage. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

    Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die CAP_NET_RAW-Funktion (im standardmäßigen Container-Funktionsset enthalten) den IPv6-Stack auf dem Knoten schädlich konfigurieren und den Knoten-Traffic an den vom Angreifer kontrollierten Container weiterleiten. Dadurch kann der Angreifer ausgehenden und eingehenden Traffic des Knotens abfangen und ändern. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden.

    Mittel

    GKE-Cluster auf

    Beschreibung Schweregrad

    Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patchversion auszuführen.

    Wie gehe ich am besten vor?

    Laden Sie das anthos-gke-Befehlszeilentool herunter, das die folgende Version oder eine neuere Version enthält und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu:

    • aws-0.2.1-gke.7

    Sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über Anthos Policy Controller oder durch Aktualisieren Ihrer Pod-Spezifikationen blockiert werden:

    Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

    • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy. Beispiel:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Oder durch Verwendung von Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und Anwendung der Vorlage. Beispiel:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Durch Aktualisieren der Pod-Spezifikationen:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

    Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die CAP_NET_RAW-Funktion (im standardmäßigen Container-Funktionsset enthalten) den IPv6-Stack auf dem Knoten schädlich konfigurieren und den Knoten-Traffic an den vom Angreifer kontrollierten Container weiterleiten. Dadurch kann der Angreifer ausgehenden und eingehenden Traffic des Knotens abfangen und ändern. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden.

    Mittel

    GCP-2020-005

    Veröffentlicht: 07.05.2020
    Zuletzt aktualisiert: 07.05.2020
    Referenz: CVE-2020-8835

    GKE

    Beschreibung Schweregrad

    Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

    GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich wie unten beschrieben ein Upgrade auf die neueste Patchversion durchzuführen.

    Knoten mit Container-Optimized OS sind nicht betroffen. Knoten, die auf GKE on VMware ausgeführt werden, sind nicht betroffen.

    Wie gehe ich am besten vor?

    Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Nur GKE-Ubuntu-Knoten mit GKE 1.16 oder 1.17 sind betroffen.

    Führen Sie zuerst ein Upgrade auf die neueste Version für den Master durch. Dieser Patch ist in Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 und neueren Releases verfügbar. Informationen zur Verfügbarkeit der Patches finden Sie in den Versionshinweisen.

    Welche Sicherheitslücke wird mit diesem Patch behoben?

    Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

    In CVE-2020-8835 wird eine Sicherheitslücke in der Linux Kernel-Version 5.5.0 und neueren Versionen beschrieben, die es einem schädlichen Container mit minimaler Nutzerinteraktion in Form eines ausführbaren Befehls ermöglicht, Lese- und Schreibvorgänge im Kernel-Speicher durchzuführen und so auf dem Hostknoten Code auf Root-Ebene auszuführen. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

    Hoch

    GCP-2020-004

    Veröffentlicht: 07.05.2020
    Aktualisiert: 20.05.2020
    Referenz: CVE-2019-11254

    GKE-Cluster auf

    Beschreibung Schweregrad

    In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht.

    Sie können diese Sicherheitslücke minimieren, indem Sie beschränken, welche Clients Netzwerkzugriff auf Ihre Kubernetes API-Server haben.

    Was soll ich tun?

    Wir empfehlen Ihnen, Ihre Cluster so bald wie möglich auf eine Patchversion zu aktualisieren, die diese Fehlerkorrektur enthält.

    Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:

    • Anthos 1.3.0, auf dem die Kubernetes-Version 1.15.7-gke.32 ausgeführt wird

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben:

    CVE-2019-11254

    Mittel

    GCP-2020-003

    Veröffentlicht: 31.03.2020
    Aktualisiert: 20.03.2020
    Referenz: CVE-2019-11254

    GKE

    Beschreibung Schweregrad

    In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht.

    In GKE-Clustern, die autorisierte Masternetzwerke verwenden, und privaten Clustern ohne öffentlichen Endpunkt tritt diese Sicherheitslücke seltener auf.

    Was soll ich tun?

    Wir empfehlen ein Upgrade Ihres Clusters auf eine Patchversion, mit der diese Sicherheitslücke behoben wird.

    Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben:

    CVE-2019-11254

    Mittel

    GCP-2020-002

    Veröffentlicht: 23.03.2020
    Aktualisiert:23.03.2020
    Referenz: CVE-2020-8551, CVE-2020-8552

    GKE

    Beschreibung Schweregrad

    Es wurden zwei DoS-Sicherheitslücken in Kubernetes offengelegt. Die eine betrifft den API-Server, die andere Kubelets. Weitere Einzelheiten finden Sie in den Kubernetes-Problemen 89377 und 89378.

    Was soll ich tun?

    GKE-Nutzer sind vor CVE-2020-8551 geschützt, sofern nur vertrauenswürdige Nutzer Anfragen innerhalb des internen Netzwerks des Clusters senden dürfen. Bei Verwendung autorisierter Masternetzwerke tritt CVE-2020-8552 außerdem seltener auf.

    Wann gibt es einen Patch?

    Patches für CVE-2020-8551 erfordern ein Upgrade des Knotens. Die Patchversionen, mit denen die Sicherheitslücke entschärft wird, sind unten aufgeführt:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Patches für CVE-2020-8552 erfordern ein Masterupgrade. Die Patchversionen, mit denen die Sicherheitslücke entschärft wird, sind unten aufgeführt:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Mittel

    GCP-january_21_2020

    Veröffentlicht: 20.01.2020
    Aktualisiert: 24.01.2020
    Referenz: CVE-2019-11254

    GKE

    Beschreibung Schweregrad

    Aktualisierung vom 24. Januar 2020: Die Einführung von Patchversionen hat bereits begonnen und wird bis zum 25. Januar 2020 abgeschlossen.


    Microsoft hat eine Sicherheitslücke in der Windows Crypto API und ihrer Validierung von Elliptische-Kurven-Signaturen offengelegt. Weitere Informationen finden Sie in der Offenlegung von Microsoft.

    Was soll ich tun?

    Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Es sind nur Knoten betroffen, die Windows Server ausführen.

    Kunden, die Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern.

    So aktualisieren Sie die Container:

    Erstellen Sie Ihre Container mit den aktuellen Basis-Container-Images von Microsoft und wählen Sie dabei ein servercore- oder nanoserver-Tag mit LastUpdated-Zeit vom 14. Januar 2020 oder später aus.

    So aktualisieren Sie die Knoten:

    Die Einführung von Patchversionen hat bereits begonnen und wird bis zum 24. Januar 2020 abgeschlossen.

    Sie können entweder bis zu diesem Zeitpunkt warten und ein Knotenupgrade für eine GKE-Patchversion vornehmen oder mit Windows Update jederzeit den aktuellen Windows-Patch manuell bereitstellen.

    Die Sicherheitslücke wurde in folgenden Patchversionen entschärft:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Welche Sicherheitslücken werden mit diesem Patch behoben?

    Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücken:

    CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über TLS-Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

    NVD Base Score: 8,1 (hoch)

    Archivierte Sicherheitsbulletins

    Sicherheitsbulletins vor 2020 finden Sie im Sicherheitsbulletin-Archiv.