Version 1.6. Diese Version wird nicht mehr unterstützt, wie in der Supportrichtlinie für Anthos-Versionen beschrieben. Führen Sie ein Upgrade auf eine unterstützte Version durch, um die neuesten Patches und Updates für Sicherheitslücken, Kontakte und Probleme bei Anthos-Clustern in VMware (GKE On-Prem) zu erhalten. Die neueste Version finden Sie hier.

Sicherheitsbulletins

In diesem Dokument werden alle Sicherheitsbulletins für Anthos-Cluster auf VMware (GKE On-Prem) beschrieben.

Sicherheitslücken werden häufig geheim gehalten, bis die betroffenen Parteien die Möglichkeit hatten, sie zu beheben. In diesen Fällen wird in den Versionshinweisen von Anthos-Clustern auf VMware von „Sicherheitsupdates“ gesprochen, bis die Geheimhaltungsverpflichtung aufgehoben wurde. Sobald das geschehen ist, werden die Hinweise mit Informationen über die durch den Patch behobene Sicherheitslücke aktualisiert.

Um die neuesten Sicherheitsbulletins zu erhalten, fügen Sie die URL dieser Seite Ihrem Feed-Reader hinzu.

GCP-2021-001

Veröffentlicht: 28.01.2021
Beschreibung Schweregrad Hinweise

Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

Anthos-Cluster auf VMware sind von dieser Sicherheitslücke nicht betroffen:

  • Nutzer, die zum Herstellen einer SSH-Verbindung zu Anthos-Cluster auf VMware-Knoten autorisiert sind, gelten bereits als stark privilegiert. Sie können mit sudo Root-Berechtigungen anhand des Entwurfs erwerben. Die Sicherheitslücke hat in diesem Szenario keine zusätzlichen Rechteausweitungspfade zur Folge.
  • Die meisten Anthos-Cluster auf VMware-Systemcontainern werden aus distroless-Basis-Images erstellt, auf denen keine Shell oder sudo installiert ist. Andere Images werden aus einem Debian-Basis-Image erstellt, das kein sudo enthält. Selbst wenn sudo vorhanden war, gewähren Sie durch Zugriff auf sudo innerhalb des Containers keinen Zugriff auf den Host aufgrund der Containergrenze.

Diese Sicherheitslücke kann in kundeneigenen Anwendungscontainern verwendet werden, um Berechtigungen an das Root-Verzeichnis des Containers weiterzuleiten. Wenn Ihr Anwendungscontainer für die Ausführung als Nicht-Root konzipiert ist, sollten Sie Ihr Container-Basis-Image auf eine Version aktualisieren, die die Fehlerbehebung enthält.

Was soll ich tun?

Da Anthos-Cluster auf VMware von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Anthos-Cluster auf VMware werden den Patch für diese Sicherheitslücke in regelmäßigen Releases anwenden.

CVE-2021-3156

GCP-2020-015

Veröffentlicht: 07-12-2020
Beschreibung Schweregrad Hinweise

Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt.

Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Von dieser Sicherheitslücke sind alle Anthos-Cluster auf VMware betroffen.

Was soll ich tun?

Möglicherweise muss Kubernetes in einer zukünftigen Version abwärtskompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben.

Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIP in einem Cluster einzuschränken. ExternalIP ist keine häufig verwendete Funktion.

Schränken Sie die Verwendung von ExternalIP in einem Cluster mit einer der folgenden Methoden ein:
  1. Verwenden Sie Anthos Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und wenden Sie sie an. Beispiel:
    
    # Only allow the creation of Services with no
    # ExternalIP or an ExternalIP of 203.0.113.1:
    
    apiVersion: constraints.gatekeeper.sh/v1beta1
    kind: K8sExternalIPs
    metadata:
      name: external-ips
    spec:
      match:
        kinds:
          - apiGroups: [""]
            kinds: ["Service"]
      parameters:
        allowedIPs:
          - "203.0.113.1"
    
  2. Oder installieren Sie einen Admission-Controller, um die Verwendung von externen IP-Adressen zu verhindern. Das Kubernetes-Projekt hat einen Beispiel-Admission-Controller für diese Aufgabe bereitgestellt.

Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die container.services.updateStatus-Berechtigung haben, die zum Ausnutzen dieser Sicherheitslücke erforderlich ist.

Mittel

CVE-2020-8554

GCP-2020-014

Veröffentlicht: 20.10.2020
Zuletzt aktualisiert: 10.10.2020
Beschreibung Schweregrad Hinweise

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

  • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
  • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
  • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
  • CVE-2020-8566: adminSecrets von Ceph RBD in Logs mit loglevel >= 4 offengelegt

GKE On-Prem ist nicht betroffen.

Was soll ich tun?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

GCP-2020-012

Veröffentlicht: 14.09.2020
Zuletzt aktualisiert: 17.09.2020
Beschreibung Schweregrad Hinweise

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle Anthos-Cluster auf VMware-Knoten sind betroffen.

Was soll ich tun?

Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Die folgenden zukünftigen Anthos-Cluster auf VMware-Versionen enthalten die Fehlerbehebung für diese Sicherheitslücke. Das Bulletin wird aktualisiert, sobald sie verfügbar sind:

  • Anthos-Cluster auf VMware 1.4.3 sind jetzt verfügbar.
  • Anthos-Cluster auf VMware 1.3.4 jetzt verfügbar.

Die Ausnutzung dieser Sicherheitslücke erfordert CAP_NET_RAW, aber nur sehr wenige Container benötigen normalerweise CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über PodSecurityPolicy oder den Policy Controller blockiert werden:

Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

  • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy. Beispiel:
    
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
          
  • Oder durch Verwendung von Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und Anwendung der Vorlage. Beispiel:
    
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
          
  • Durch Aktualisieren der Pod-Spezifikationen:
    
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW
          

Welche Sicherheitslücke wird mit diesem Patch behoben?

Der Patch behebt die Sicherheitslücke CVE-2020-14386. Durch diese können Container mit CAP_NET_RAW
1 bis 10 Byte des Kernel-Speichers schreiben und sie ermöglicht Container-Escape, um Root-Berechtigungen auf dem Hostknoten zu erhalten.

Der Schweregrad dieser Sicherheitslücke ist "Hoch".

Hoch

CVE-2020-14386

GCP-2020-011

Veröffentlicht: 24.07.2020
Beschreibung Schweregrad Hinweise

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Was soll ich tun?

Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Die folgenden Anthos-Cluster auf VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

  • Anthos-Cluster auf VMware 1.4.1
  • Anthos-Cluster auf VMware 1.3.5

Welche Sicherheitslücke wird mit diesem Patch behoben?

Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558.

Mittel

CVE-2020-8558

GCP-2020-009

Veröffentlicht: 15.07.2020
Beschreibung Schweregrad Hinweise

Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu.

Was soll ich tun?

Aktualisieren Sie Ihr Cluster auf eine Patchversion. Die folgenden zukünftigen Anthos-Cluster auf VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

  • Anthos 1.3.3
  • Anthos 1.4.1

Welche Sicherheitslücke wird mit diesem Patch behoben?

Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten.

Mittel

CVE-2020-8559

GCP-2020-007

Veröffentlicht: 01.06.2020
Beschreibung Schweregrad Hinweise

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Was soll ich tun?

Die folgenden Anthos-Cluster auf VMware (GKE On-Prem)-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

  • Anthos 1.3.0

Wenn Sie eine frühere Version verwenden, aktualisieren Sie Ihren vorhandenen Cluster auf eine Version, die diese Fehlerkorrektur enthält.

Welche Sicherheitslücke wird mit diesem Patch behoben?

Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte.

Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann kube-controller-manager dazu veranlassen, GET-Anfragen oder POST-Anfragen ohne von ihm kontrolliertem Anfragetext über das Master-Hostnetzwerk zu senden. Diese Volume-Typen werden selten auf GKE verwendet. Neue Nutzungsfälle dieser Volume-Typen können also ein hilfreiches Signal zur Angriffserkennung sein.

Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von GET/POST beispielsweise durch Logs zurück an den Angreifer zu senden, kann das zur Offenlegung von vertraulichen Informationen führen. Wir haben die entsprechenden Speichertreiber aktualisiert, um das Risiko von Schwachstellen zu beheben.

Mittel

CVE-2020-8555

GCP-2020-006

Veröffentlicht: 01.06.2020
Beschreibung Schweregrad Hinweise

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patchversion auszuführen.

Was soll ich tun?

Führen Sie ein Upgrade Ihrer Cluster auf die folgende Version oder höher aus, um diese Sicherheitslücke für Anthos-Cluster auf VMware (GKE On-Prem) zu beheben:
  • Anthos 1.3.2

Normalerweise benötigen nur sehr wenige Container CAP_NET_RAW. Diese und andere leistungsstarke Funktionen sollten standardmäßig über Anthos Policy Controller oder durch Aktualisieren Ihrer Pod-Spezifikationen blockiert werden:

Entfernen Sie die Funktion CAP_NET_RAW mit einer der folgenden Methoden aus Containern:

  • Erzwingen Sie das Blockieren dieser Funktionen mit PodSecurityPolicy. Beispiel:
    
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
          
  • Oder durch Verwendung von Policy Controller oder Gatekeeper mit dieser Einschränkungsvorlage und Anwendung der Vorlage. Beispiel:
    
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
          
  • Durch Aktualisieren der Pod-Spezifikationen:
    
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW
          

Welche Sicherheitslücke wird mit diesem Patch behoben?

Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die CAP_NET_RAW-Funktion (im standardmäßigen Container-Funktionsset enthalten) den IPv6-Stack auf dem Knoten schädlich konfigurieren und den Knoten-Traffic an den vom Angreifer kontrollierten Container weiterleiten. Dadurch kann der Angreifer ausgehenden und eingehenden Traffic des Knotens abfangen und ändern. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden.

Mittel

Kubernetes-Problem 91507

GCP-2020-004

Beschreibung Schweregrad Hinweise

In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht.

Sie können diese Sicherheitslücke minimieren, indem Sie beschränken, welche Clients Netzwerkzugriff auf Ihre Kubernetes API-Server haben.

Was soll ich tun?

Wir empfehlen Ihnen, Ihre Cluster so bald wie möglich auf eine Patchversion zu aktualisieren, die diese Fehlerkorrektur enthält.

Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:

  • Anthos 1.3.0, auf dem die Kubernetes-Version 1.15.7-gke.32 ausgeführt wird

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben:

CVE-2019-11254

Mittel

CVE-2019-11254

16. Oktober 2019

Beschreibung Schweregrad Hinweise

In Kubernetes wurde kürzlich eine in CVE-2019-11253 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, die externe Ausführung von DoS-Angriffen (Denial of Service) auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht.

Sie können diese Sicherheitslücke minimieren, indem Sie beschränken, welche Clients Netzwerkzugriff auf Ihre Kubernetes API-Server haben.

Was soll ich tun?

Wir empfehlen, so bald wie möglich ein Upgrade Ihrer Cluster auf eine Patchversion auszuführen, die eine entsprechende Fehlerkorrektur enthält.

Die Patchversionen mit dieser Fehlerkorrektur sind unten aufgeführt:

  • Anthos 1.1.1, auf dem die Kubernetes-Version 1.13.7-gke.30 ausgeführt wird
Welche Sicherheitslücke wird mit diesem Patch behoben?

Der Patch entschärft die Sicherheitslücke CVE-2019-11253.

Hoch

CVE-2019-11253

23. August 2019

Beschreibung Schweregrad Hinweise

Wir haben vor Kurzem eine Sicherheitslücke entdeckt und beseitigt, durch die der für Sicherheitsmonitoring-Endpunkte verwendete RBAC-Proxy die Nutzer nicht richtig autorisierte. Daher waren Messwerte aus bestimmten Komponenten für nicht autorisierte Nutzer innerhalb des internen Clusternetzwerks verfügbar. Die folgenden Komponenten waren betroffen:

  • etcd
  • etcd-events
  • kube-apiserver
  • kube-controller-manager
  • kube-scheduler
  • node-exporter
  • kube-state-metrics
  • prometheus
  • alertmanager
Was soll ich tun?

Wir empfehlen Ihnen, so schnell wie möglich ein Upgrade Ihrer Cluster auf Version 1.0.2-gke.3 auszuführen, die den Patch für diese Sicherheitslücke enthält.

Mittel

Anthos-Cluster auf VMware-Releases

22. August 2019

Beschreibung Schweregrad Hinweise

Kubernetes hat kürzlich die Sicherheitslücke CVE-2019-11247 festgestellt. Dadurch können clusterbezogene benutzerdefinierte Ressourceninstanzen wie mit einem Namespace versehene Objekte behandelt werden, die in allen Namespaces existieren. Das bedeutet, dass Nutzer und Dienstkonten, die lediglich RBAC-Berechtigungen auf Namespace-Ebene haben, mit clusterbezogenen benutzerdefinierten Ressourcen interagieren können. Damit der Angreifer diese Sicherheitslücke nutzen kann, benötigt er Zugriffsrechte auf die Ressource in einem Namespace.

Was soll ich tun?

Wir empfehlen Ihnen, so schnell wie möglich ein Upgrade Ihrer Cluster auf Version 1.0.2-gke.3 auszuführen, die den Patch für diese Sicherheitslücke enthält.

Welche Sicherheitslücke wird mit diesem Patch behoben?

Der Patch entschärft die Sicherheitslücke CVE-2019-11247.

Mittel

CVE-2019-11247