安全公告

最近，我们在 HTTP/2 协议的多个实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。已配置授权网络的 GKE 集群会受到网络访问权限限制，但所有其他集群都会受到影响。

GKE Autopilot 集群和标准集群会受到影响。

该怎么做？

golang 项目已于 2024 年 4 月 3 日发布补丁。当包含这些补丁的 GKE 版本推出时，我们会更新本公告。如需加快处理补丁的申请速度，请与支持团队联系。

为控制平面访问配置授权网络以进行缓解：

您可以通过配置授权网络来减轻集群受到此类攻击的危害。按照说明为现有集群启用授权网络。

如需详细了解授权网络如何控制对控制平面的访问，请参阅授权网络的工作原理。如需查看默认的授权网络访问权限，请查看对控制平面端点的访问权限部分中的表。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

最近，我们在 HTTP/2 协议的多个实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

该怎么做？

golang 项目已于 2024 年 4 月 3 日发布补丁。当包含这些补丁的 GKE on VMware 版本推出时，我们会更新本公告。如需加快处理补丁的申请速度，请与支持团队联系。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

最近，我们在 HTTP/2 协议的多个实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

该怎么做？

golang 项目已于 2024 年 4 月 3 日发布补丁。当包含这些补丁的 GKE on AWS 版本推出时，我们会更新本公告。如需加快处理补丁的申请速度，请与支持团队联系。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

最近，我们在 HTTP/2 协议的多个实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

该怎么做？

golang 项目已于 2024 年 4 月 3 日发布补丁。当包含这些补丁的 GKE on Azure 版本推出时，我们会更新本公告。如需加快处理补丁的申请速度，请与支持团队联系。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

最近，我们在 HTTP/2 协议的多个实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

该怎么做？

golang 项目已于 2024 年 4 月 3 日发布补丁。当包含这些补丁的 GKE on Bare Metal 版本推出时，我们会更新本公告。如需加快处理补丁的申请速度，请与支持团队联系。

该补丁解决了哪些漏洞？

此漏洞 (CVE-2023-45288) 允许攻击者对 Kubernetes 控制平面执行 DoS 攻击。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-1085

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 4 月 4 日更新：更正了 GKE Container-Optimized OS 节点池的最低版本。

包含之前列出的 Container-Optimized OS 修复的最低 GKE 版本不正确。以下版本的 GKE 已使用代码进行了更新，以修复 Container-Optimized OS 上的此漏洞。将 Container-Optimized OS 节点池升级到以下版本或更高版本：

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-1085

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-1085

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-1085

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-1085

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3611

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3611

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3611

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3611

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3611

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3776

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3776

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3776

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3776

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3776

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3610

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.3-gke.1001002
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3610

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3610

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3610

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3610

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-0193

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-0193

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-0193

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-0193

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-0193

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-6932

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-6932

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-6932

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-6932

该怎么做？

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-6932

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6931

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6931

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6931

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6931

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6931

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

运行 Windows Server 节点并使用树内存储插件的 GKE Standard 集群可能会受到影响。

使用 GKE Sandbox 的 GKE Autopilot 集群和 GKE 节点池不受影响，因为它们不支持 Windows Server 节点。

该怎么做？

确定您的集群上是否正在使用 Windows Server 节点：

kubectl get nodes -l kubernetes.io/os=windows

检查审核日志是否存在漏洞被利用的迹象。您可以审核 Kubernetes 审核日志，以确定此漏洞是否正在被利用。如果永久性卷创建事件的本地路径字段包含特殊字符，则明显表明漏洞被利用了。

将 GKE 集群和节点池更新到修补后的版本。为修复此漏洞，以下版本的 GKE 已更新。即使您启用了节点自动升级，我们也建议您手动升级集群和 Windows Server 节点池到以下某个 GKE 版本或更高版本：

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

该补丁解决了哪些漏洞？

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

运行 Windows Server 节点并使用树内存储插件的 GKE on VMware 集群可能会受到影响。

该怎么做？

确定您的集群上是否正在使用 Windows Server 节点：

kubectl get nodes -l kubernetes.io/os=windows

检查审核日志是否存在漏洞被利用的迹象。您可以审核 Kubernetes 审核日志，以确定此漏洞是否正在被利用。如果永久性卷创建事件的本地路径字段包含特殊字符，则明显表明漏洞被利用了。

将 GKE on VMware 集群和节点池更新到修补后的版本。为修复此漏洞，以下版本的 GKE on VMware 已更新。即使您启用了节点自动升级，我们也建议您手动升级集群和 Windows Server 节点池到以下某个 GKE on VMware 版本或更高版本：

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

该补丁解决了哪些漏洞？

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

GKE on AWS 集群不受影响。

该怎么做？

无需执行任何操作

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

GKE on Azure 集群不受影响。

该怎么做？

无需执行任何操作

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

GKE on Bare Metal 集群不受影响。

该怎么做？

无需执行任何操作

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 2 月 28 日更新：以下版本的 GKE 已更新，添加了代码以修复 Ubuntu 中的此漏洞。将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

2024-02-15 更新：由于一个问题，2024-02-14 更新中的以下 Ubuntu 补丁版本可能会导致您的节点进入运行状况不佳的状态。请勿升级到以下补丁版本。当 Ubuntu 的较新补丁版本可用于 1.25 和 1.26 时，我们将更新本公告。

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

如果您已升级到这些补丁版本之一，请将节点池手动降级到发布渠道中的早期版本。

2024 年 2 月 14 日更新：以下版本的 GKE 已更新，包含用于修复 Ubuntu 中的此漏洞的代码。将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

2024 年 2 月 6 日更新：以下版本的 GKE 已使用代码进行了更新，以修复 Container-Optimized OS 中的此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和 Container-Optimized OS 节点池手动升级到以下 GKE 版本之一或更高版本：

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

我们将通过代码更新 GKE，以修复此漏洞。在补丁版本可用后，我们将更新本公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod 中使用的 Linux 容器。在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc 也未验证容器的最终工作目录是否位于该容器的装载命名空间内。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

该怎么做？

2024 年 3 月 6 日更新：我们更新了以下 GKE on VMware 版本，添加了用于修复此漏洞的代码。将集群升级到以下版本或更高版本：

• 1.28.200
• 1.16.6
• 1.15.9

GKE on VMware 的补丁版本正在开发，GKE on VMware 的严重程度评估正在进行。如果有进展信息，我们将相应更新此公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod 中使用的 Linux 容器。在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc 也未验证容器的最终工作目录是否位于该容器的装载命名空间内。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

该怎么做？

GKE on AWS 的补丁版本正在开发，GKE on AWS 的严重程度评估正在进行。如果有进展信息，我们将相应更新此公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod 中使用的 Linux 容器。在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc 也未验证容器的最终工作目录是否位于该容器的装载命名空间内。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

该怎么做？

GKE on Azure 的补丁版本正在开发，GKE on Azure 的严重程度评估正在进行。如果有进展信息，我们将相应更新此公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod 中使用的 Linux 容器。在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc 也未验证容器的最终工作目录是否位于该容器的装载命名空间内。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 runc 中发现了安全漏洞 CVE-2024-21626。有权创建 Pod 的用户可能可以获得对节点文件系统的完整访问权限。

该怎么做？

2024 年 4 月 2 日更新：以下版本的 GKE on Bare Metal 已更新为修复此漏洞的代码。将集群升级到以下版本或更高版本：

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

GKE on Bare Metal 的补丁版本正在开发，GKE on Bare Metal 的严重程度评估正在进行。如果有进展信息，我们将相应更新此公告。

该补丁解决了哪些漏洞？

runc 是一种低级工具，用于生成和运行 Kubernetes Pod 中使用的 Linux 容器。在本安全公告中发布的补丁之前的 runc 版本中，有几个文件描述符被意外泄露到容器内运行的 runc init 进程中。runc 也未验证容器的最终工作目录是否位于该容器的装载命名空间内。恶意容器映像或有权运行任意 Pod 的用户可能会结合使用泄露的文件描述符和缺少工作目录验证来获取节点的主机装载命名空间的访问权限，以及访问整个主机文件系统并覆盖节点上的任意二进制文件。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6817

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 2 月 7 日更新：以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6817

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6817

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6817

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6817

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

2024 年 1 月 26 日更新：发现少数 GKE 集群存在客户创建的涉及 system:authenticated 群组的错误配置的安全研究现已发布。研究人员的博文引用了 1,300 个存在某些错误配置的绑定的集群和 108 个具有高权限的集群。我们已与受影响的客户密切合作，以通知他们并协助移除配置有误的绑定。

我们已经确定了若干集群，其中用户已向 system:authenticated 群组（包括拥有 Google 账号的所有用户）授予了 Kubernetes 权限。我们不建议进行上述类型的绑定，因为这违反了最小权限原则，向大量用户授予了访问权限。如需了解如何查找这些类型的绑定，请参阅“我该怎么做”下的指南。

最近，一位安全研究人员通过我们的漏洞报告计划报告了具有 RBAC 配置错误的集群的发现结果。

Google 的身份验证方法是在不添加复杂的配置步骤的情况下，尽可能简单、安全地向 Google Cloud 和 GKE 进行身份验证。身份验证只能验证用户的身份，授权则决定了用户的访问权限。因此，GKE 中的 system:authenticated 组（包含所有通过 Google 身份提供方进行身份验证的用户）会按预期运行，并且其运行方式与 IAM allAuthenticatedUsers 标识符相同。

考虑到这一点，我们采取了多项措施来降低用户对 Kubernetes 内置用户和群组（包括 system:anonymous、system:authenticated 和 system:unauthenticated）进行错误授权的风险。如果获得权限，所有这些用户/群组都会给集群带来风险。我们于 2023 年 11 月在 Kubecon 上讨论了针对 RBAC 配置错误和可用防御措施的一些攻击者活动。

为了防止用户在使用这些系统用户/群组时发生意外授权错误，我们采取了以下措施：

• 在 GKE 1.28 版本中，默认情况下禁止新增权限较高的 ClusterRole cluster-admin 与用户 system:anonymous、群组 system:authenticated 或群组 system:unauthenticated 的绑定。
• 将检测规则作为 Security Command Center 的一部分内置于 Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING)。
• 通过 K8sRestrictRoleBindings 在Policy Controller 中内置可配置的防护规则。
• 向已绑定这些用户/群组的所有 GKE 用户发送电子邮件通知，要求他们检查自己的配置。
• 建立网络授权功能，并建议限制集群的网络访问权限，以此作为第一层防护措施。
• 2023 年 11 月在 Kubecon 上发表演讲，提高人们对此问题的认识。

应用授权网络限制的集群有第一层防御：它们无法直接从互联网遭受攻击。但我们仍建议移除这些绑定，以实现纵深防御并防止网络控制错误。
请注意，在很多情况下，与 Kubernetes 系统用户或群组的绑定是有意使用的：例如，用于 kubeadm 引导、Rancher 信息中心和 Bitnami Sealed Secrets。我们已与相关软件供应商确认，这些绑定均在正常发挥作用。

我们正在研究如何通过预防和检测进一步防止这些系统用户/群组的用户 RBAC 配置错误。

该怎么做？

为防止任何新的 cluster-admin 绑定到用户 system:anonymous、群组 system:authenticated 或群组 system:unauthenticated，用户可以升级到 GKE v1.28 或更高版本（版本说明），系统会阻止创建这些绑定。

您应按照本指南查看现有绑定。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 节点提权。

• CVE-2023-6111

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 节点提权。

• CVE-2023-6111

该怎么做？

2024 年 2 月 20 日更新：我们更新了以下 GKE on VMware 版本中的代码，以修复此漏洞。将集群升级到以下版本或更高版本：1.28.100

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 节点提权。

• CVE-2023-6111

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 节点提权。

• CVE-2023-6111

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 节点提权。

• CVE-2023-6111

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3609

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3609

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3609

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3609

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3609

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3389

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3389

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3389

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3389

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3389

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3090

GKE Standard 集群会受到影响。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会受此漏洞影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3090

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3090

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3090

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3090

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3390

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.27.4-gke.400
• 1.28.0-gke.100

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3390

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3390

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3390

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3390

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

破解了 Fluent Bit 日志记录容器的攻击者可以将该访问权限与 Anthos Service Mesh（在已启用它的集群上）所需的高权限相结合，以提升集群中的权限。Fluent Bit 和 Anthos Service Mesh 的问题已得到缓解，并且现已提供修复程序。这些漏洞无法在 GKE 中自行利用，需要初始入侵。我们不了解任何利用这些漏洞的情况。

这些问题是通过我们的漏洞奖励计划报告的。

该怎么做？

为了修复 Fluent Bit 中的这些漏洞以及为托管式 Anthos Service Mesh 用户修复这些漏洞，以下版本的 GKE 已更新。为安全起见，即使您启用了节点自动升级，我们也建议您手动升级集群和节点池，将其升级到以下某个 GKE 版本或更高版本：

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

如果您的集群使用集群内 Anthos Service Mesh，您必须手动升级到以下版本之一（版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告中修复的漏洞要求攻击者破坏 Fluent Bit 日志记录容器。我们不知道 Fluent Bit 中是否有任何会导致此提升权限先决条件的漏洞。我们已经修补这些漏洞，作为强化措施，以防止未来可能出现完整的攻击链

GKE 使用 Fluent Bit 处理集群上运行的工作负载的日志。Fluent Bit on GKE 还配置为收集 Cloud Run 工作负载的日志。配置用于收集这些日志的卷装载可让 Fluent Bit 访问节点上运行的其他 Pod 的 Kubernetes 服务帐号令牌。研究人员利用此访问权限为启用了 Anthos Service Mesh 的集群发现了高特权的服务帐号令牌。

Anthos Service Mesh 需要高权限才能对集群的配置进行必要的修改，包括创建和删除 Pod 的能力。研究人员使用 Anthos Service Mesh 的特权 Kubernetes 服务帐号令牌，通过创建具有集群管理员权限的新 Pod 来升级其初始入侵的权限

我们移除了 Fluent Bit 对服务帐号令牌的访问权限，并重新设计了 Anthos Service Mesh 的功能，以移除多余的权限。

只有使用 Anthos Service Mesh 的 GKE on VMware 集群会受到影响。

该怎么做？

如果您的集群使用集群内 Anthos Service Mesh，您必须手动升级为以下版本之一（版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器，或者拥有集群节点上的 root 权限。我们尚未发现任何会导致提升权限的先决条件。我们已经修补这些漏洞，作为强化措施，以防止未来可能出现完整的攻击链。

Anthos Service Mesh 需要高权限才能对集群的配置进行必要的修改，包括创建和删除 Pod 的能力。该研究人员使用 Anthos Service Mesh 的特权 Kubernetes 服务帐号令牌，通过创建具有集群管理员权限的新 Pod 来升级其最初被盗用的权限。

我们重新设计了 Anthos Service Mesh 的功能，以移除多余的权限。

只有使用 Anthos Service Mesh 的 GKE on AWS 集群会受到影响。

该怎么做？

如果您的集群使用集群内 Anthos Service Mesh，您必须手动升级到以下某个版本（版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器，或者拥有集群节点上的 root 权限。我们尚未发现任何会导致提权的先决条件的现有漏洞。我们已经修补这些漏洞，作为强化措施，以防止未来可能出现完整的攻击链。

Anthos Service Mesh 需要高权限才能对集群的配置进行必要的修改，包括创建和删除 Pod 的能力。该研究人员使用 Anthos Service Mesh 的特权 Kubernetes 服务帐号令牌，通过创建具有集群管理员权限的新 Pod 来升级其最初被盗用的权限。

我们重新设计了 Anthos Service Mesh 的功能，以移除多余的权限。

只有使用 Anthos Service Mesh 的 GKE on Azure 集群会受到影响。

该怎么做？

如果您的集群使用集群内 Anthos Service Mesh，您必须手动升级到以下某个版本（版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器，或者拥有集群节点上的 root 权限。我们尚未发现任何会导致提权的先决条件的现有漏洞。我们已经修补这些漏洞，作为强化措施，以防止未来可能出现完整的攻击链。

Anthos Service Mesh 需要高权限才能对集群的配置进行必要的修改，包括创建和删除 Pod 的能力。该研究人员使用 Anthos Service Mesh 的特权 Kubernetes 服务帐号令牌，通过创建具有集群管理员权限的新 Pod 来升级其最初被盗用的权限。

我们重新设计了 Anthos Service Mesh 的功能，以移除多余的权限。

只有使用 Anthos Service Mesh 的 GKE on Bare Metal 集群会受到影响。

该怎么做？

如果您的集群使用集群内 Anthos Service Mesh，您必须手动升级为以下版本之一（版本说明）：

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

该补丁解决了哪些漏洞？

本公告解决的漏洞要求攻击者首先入侵或以其他方式破解容器，或者拥有集群节点上的 root 权限。我们尚未发现任何会导致提权的先决条件的现有漏洞。我们已经修补这些漏洞，作为强化措施，以防止未来可能出现完整的攻击链。

Anthos Service Mesh 需要高权限才能对集群的配置进行必要的修改，包括创建和删除 Pod 的能力。该研究人员使用 Anthos Service Mesh 的特权 Kubernetes 服务帐号令牌，通过创建具有集群管理员权限的新 Pod 来升级其最初被盗用的权限。

我们重新设计了 Anthos Service Mesh 的功能，以移除多余的权限。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5717

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2024 年 1 月 22 日更新：以下次要版本会受到影响。将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5717

该怎么做？

2024 年 3 月 4 日更新：我们更新了以下 GKE on VMware 版本中的代码，以修复此漏洞。将集群升级到以下版本或更高版本：

• 1.28.200
• 1.16.5
• 1.15.8

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5717

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5717

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5717

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5197

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下次要版本会受到影响。 将 Container-Optimized OS 节点池升级到以下补丁版本之一或更高版本：

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

以下次要版本会受到影响。 将 Ubuntu 节点池升级到以下补丁版本之一或更高版本：

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能允许您保护节点，直到补丁版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5197

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5197

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5197

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5197

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4147

GKE Standard 集群会受到影响。GKE Autopilot 集群不受影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 15 日更新：如果您在节点中使用该次要版本，则只需升级到本公告中列出的某个修补版本。例如，如果您使用的是 GKE 1.27 版，则应升级到相应的修补版本。但是，如果您使用的是 GKE 1.24 版，则无需升级到修补后的版本。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.27.5-gke.200
• 1.28.2-gke.1157000

将 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

如果您的集群在其自己的发布渠道中运行相同的次要版本，则您可以应用来自较新发布渠道的补丁版本。此功能使您可以保护节点，直到修补后的版本成为发布渠道中的默认版本。如需了解详情，请参阅从较新的渠道运行补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4147

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4147

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4147

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4147

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4004

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 12 月 5 日更新：之前缺少某些 GKE 版本。以下是更新后的 GKE 版本列表，您可以将 Container-Optimized OS 更新为这些版本：

• 1.24.17-gke.200 或更高版本
• 1.25.13-gke.200 或更高版本
• 1.26.8-gke.200 或更高版本
• 1.27.4-gke.2300 或更高版本
• 1.28.1-gke.1257000 或更高版本

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

将 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4004

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4004

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4004

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4004

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其分发中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4921

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

将 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4921

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4921

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4921

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4921

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其分发中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

将 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其分发中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

将 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其分发中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4015

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.27.5-gke.1647000

将 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4015

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4015

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4015

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4015

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其分发中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

将 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其分发中捆绑操作系统。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3777

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。 GKE Sandbox 工作负载也不会受到影响。

Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群会受到影响。

该怎么做？

2023 年 11 月 21 日更新：如果您在节点中使用该次要版本，只需升级到本公告中列出的其中一个补丁版本。未列出的次要版本不受影响。

将 Container-Optimized OS 节点池升级到以下某个版本或更高版本：

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

将 Ubuntu 节点池升级到以下某个版本或更高版本：

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3777

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3777

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3777

该怎么做？

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3777

该怎么做？

您无需执行任何操作。GKE on Bare Metal 不受影响，因为它不会在其发行版中捆绑操作系统。

我们最近在 HTTP/2 协议 (CVE-2023-44487) 的多个实现中发现了一个拒绝服务攻击 (DoS) 漏洞，其中包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。已配置授权网络的 GKE 集群会受到网络访问权限限制，但所有其他集群都会受到影响。

该怎么做？

2023 年 11 月 9 日更新：我们发布了包含 Go 和 Kubernetes 安全补丁的 GKE 新版本，您现在可以将集群更新为这些版本。在未来几周内，我们将发布对 GKE 控制平面的其他更改，以进一步缓解此问题。

以下 GKE 版本已使用 CVE-2023-44487 和 CVE-2023-39325 的补丁进行了更新：

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

我们建议您尽快应用以下缓解措施，并在有最新的修补版本可用时升级到该版本。

Golang 补丁将于 10 月 10 日发布。一旦可用，我们将使用这些补丁构建和限定新的 Kubernetes API 服务器，并发布 GKE 修补版本。GKE 版本可用后，我们将更新本公告，提供升级控制平面的指导；在可用于您的集群时，我们也会在 GKE 安全状况中显示补丁。如需在您的渠道有可用的补丁时接收 Pub/Sub 通知，请启用集群通知。

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

通过为控制平面访问权限配置授权网络来缓解此问题：

您可以为现有集群添加授权网络。如需了解详情，请参阅现有集群的授权网络。

除了您添加的授权网络之外，还有一些预设的 IP 地址可用于访问 GKE 控制平面。如需详细了解这些地址，请参阅对控制平面端点的访问权限。以下各项汇总了集群隔离：

• 配置了 --master-authorized-networks 的专用集群以及配置了 --master-authorized-networks 和 --no-enable-google-cloud 的基于 PSC 的集群隔离性最强。
• 配置了 --master-authorized-networks 的旧版公共集群以及配置了 --master-authorized-networks 和 --enable-google-cloud（默认）的基于 PSC 的集群还可以通过以下地址访问：
  • Google Cloud 中所有 Compute Engine 虚拟机的公共 IP 地址
  • Google Cloud Platform IP 地址

该补丁解决了哪些漏洞？

漏洞 (CVE-2023-44487) 让攻击者能够对 GKE 控制平面节点执行拒绝服务攻击。

我们最近在 HTTP/2 协议 (CVE-2023-44487) 的多个实现中发现了一个拒绝服务攻击 (DoS) 漏洞，其中包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。默认情况下，GKE on VMware 会创建无法通过互联网直接访问的 Kubernetes 集群，这些集群可以抵御此漏洞的攻击。

该怎么做？

2024 年 2 月 14 日更新：以下 GKE on VMware 版本已更新，内含修复此漏洞的代码。将集群升级到以下补丁版本或更高版本：

• 1.28.100
• 1.16.6
• 1.15.8

如果您已将 GKE on VMware Kubernetes 集群配置为直接访问互联网或其他不受信任的网络，我们建议您与防火墙管理员合作，以阻止或限制此类访问。

在最新的补丁版本可用时，我们建议您尽快升级到该版本。

Golang 补丁将于 10 月 10 日发布。一旦可用，我们将使用这些补丁构建和限定新的 Kubernetes API 服务器，并发布 GKE 修补版本。GKE 版本可用后，我们将更新本公告，提供将控制平面升级到哪个版本的指南。

该补丁解决了哪些漏洞？

漏洞 (CVE-2023-44487) 让攻击者能够对 Kubernetes 控制平面节点执行拒绝服务攻击。

我们最近在 HTTP/2 协议 (CVE-2023-44487) 的多个实现中发现了一个拒绝服务攻击 (DoS) 漏洞，其中包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。默认情况下，GKE on AWS 会创建无法通过互联网直接访问的专用 Kubernetes 集群，这些集群可以抵御此漏洞的攻击。

该怎么做？

2024 年 3 月 20 日更新：以下 GKE on AWS 版本已更新了 CVE-2023-44487 的补丁：

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

如果您已将 GKE on AWS 配置为直接访问互联网或其他不受信任的网络，我们建议您与防火墙管理员合作，以阻止或限制此类访问。

在最新的补丁版本可用时，我们建议您尽快升级到该版本。

Golang 补丁将于 10 月 10 日发布。一旦可用，我们将使用这些补丁构建和限定新的 Kubernetes API 服务器，并发布 GKE 修补版本。GKE 版本可用后，我们将更新本公告，提供将控制平面升级到哪个版本的指南。

该补丁解决了哪些漏洞？

漏洞 (CVE-2023-44487) 让攻击者能够对 Kubernetes 控制平面节点执行拒绝服务攻击。

我们最近在 HTTP/2 协议 (CVE-2023-44487) 的多个实现中发现了一个拒绝服务攻击 (DoS) 漏洞，其中包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。默认情况下，GKE on Azure 会创建无法通过互联网直接访问的专用 Kubernetes 集群，这些集群可以抵御此漏洞的攻击。

该怎么做？

2024 年 3 月 20 日更新：以下 GKE on Azure 版本已更新了 CVE-2023-44487 的补丁：

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

如果您已将 GKE on Azure 集群配置为直接访问互联网或其他不受信任的网络，我们建议您与防火墙管理员合作，以阻止或限制此类访问。

在最新的补丁版本可用时，我们建议您尽快升级到该版本。

该补丁解决了哪些漏洞？

漏洞 (CVE-2023-44487) 让攻击者能够对 Kubernetes 控制平面节点执行拒绝服务攻击。

我们最近在 HTTP/2 协议 (CVE-2023-44487) 的多个实现中发现了一个拒绝服务攻击 (DoS) 漏洞，其中包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Kubernetes 控制平面受到 DoS 攻击。Anthos on Bare Metal 会创建 Kubernetes 集群，这些集群默认无法直接访问互联网，因此可以防范此漏洞。

该怎么做？

如果您已将 Anthos on Bare Metal Kubernetes 集群配置为直接访问互联网或其他不受信任的网络，我们建议您与防火墙管理员合作，以阻止或限制此类访问。如需了解详情，请参阅 GKE on Bare Metal 安全概览。

在最新的补丁版本可用时，我们建议您尽快升级到该版本。

Golang 补丁将于 10 月 10 日发布。一旦可用，我们将使用这些补丁构建和限定新的 Kubernetes API 服务器，并发布 GKE 修补版本。GKE 版本可用后，我们将更新本公告，提供将控制平面升级到哪个版本的指南。

该补丁解决了哪些漏洞？

漏洞 (CVE-2023-44487) 让攻击者能够对 Kubernetes 控制平面节点执行拒绝服务攻击。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

只有包含 Windows 节点的 GKE 集群才会受到影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

GKE 控制平面将于 2023 年 9 月 4 日这周更新，以将 csi-proxy 更新到 1.1.3 版。如果您在更新控制平面之前更新节点，则需要在更新后再次更新节点，以利用新的代理。您可以再次更新节点，即使不更改节点版本也是如此，方法是运行 gcloud container clusters upgrade 命令并传递 --cluster-version 标志（其中包含节点池已在运行的同一 GKE 版本）。您必须使用 gcloud CLI 才能解决此问题。 请注意，无论维护窗口如何，此操作都会导致更新。

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

利用 CVE-2023-3676，恶意行为者可以使用包含 PowerShell 命令的主机路径字符串制定 Pod 规范。Kubelet 缺少输入排错功能，会将这个精心制作的路径字符串作为参数传递给命令执行器，该命令执行器会将字符串的各个部分作为单独的命令执行。这些命令将使用与 Kubelet 相同的管理员权限来运行。

在 CVE-2023-3955 中，Kubelet 会为可以创建 Pod 的用户授予使用与 Kubelet 代理相同的权限级别（特权）执行代码的权限。

使用 CVE-2023-3893 时，类似的缺少输入清理也让能够在运行 kubernetes-csi-proxy 的 Windows 节点上创建 Pod 的用户升级到这些节点上的管理员权限。

Kubernetes 审核日志可用于检测此漏洞是否正被利用。使用嵌入式 PowerShell 命令的 pod 创建事件是利用漏洞的一种明显迹象。 包含嵌入式 PowerShell 命令并装载到 Pod 的 ConfigMap 和 Secret 也是利用漏洞的一种明显迹象。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

只有包含 Windows 节点的集群才会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

利用 CVE-2023-3676，恶意行为者可以使用包含 PowerShell 命令的主机路径字符串制定 Pod 规范。Kubelet 缺少输入排错功能，会将这个精心制作的路径字符串作为参数传递给命令执行器，该命令执行器会将字符串的各个部分作为单独的命令执行。这些命令将使用与 Kubelet 相同的管理员权限来运行。

在 CVE-2023-3955 中，Kubelet 会为可以创建 Pod 的用户授予使用与 Kubelet 代理相同的权限级别（特权）执行代码的权限。

使用 CVE-2023-3893 时，类似的缺少输入清理也让能够在运行 kubernetes-csi-proxy 的 Windows 节点上创建 Pod 的用户升级到这些节点上的管理员权限。

Kubernetes 审核日志可用于检测此漏洞是否正被利用。使用嵌入式 PowerShell 命令的 pod 创建事件是利用漏洞的一种明显迹象。 包含嵌入式 PowerShell 命令并装载到 Pod 的 ConfigMap 和 Secret 也是利用漏洞的一种明显迹象。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

该怎么做？

GKE on AWS 不受这些 CVE 的影响。您无需采取任何行动。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

该怎么做？

GKE on Azure 不受这些 CVE 的影响您无需采取任何行动。

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

该怎么做？

GKE on Bare Metal 不受这些 CVE 的影响。您无需采取任何行动。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE Autopilot 集群会受到影响，因为 GKE Autopilot 节点始终使用 Container-Optimized OS 节点映像。运行 Container-Optimized OS 节点映像的 1.25 版或更高版本的 GKE Standard 集群会受到影响。

如果 GKE 集群仅运行 Ubuntu 节点映像、运行 1.25 之前的版本或使用 GKE Sandbox，则不会受到影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

解决了哪些漏洞？

在 CVE-2023-2235 漏洞中，perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state，但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event()，从而可以使用悬垂指针，导致 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE on VMware 集群会受到影响。

该怎么做？

解决了哪些漏洞？

在 CVE-2023-2235 漏洞中，perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state，但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event()，从而可以使用悬垂指针，导致 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE on AWS 集群会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

在 CVE-2023-2235 漏洞中，perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state，但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event()，从而可以使用悬垂指针，导致 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE on Azure 集群会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

在 CVE-2023-2235 漏洞中，perf_group_separated 函数在调用 add_event_to_groups() 之前不检查事件的同级子事件的 attach_state，但 remove_on_exec 使得从其群组分离之前可以调用 list_del_event()，从而可以使用悬垂指针，导致 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。

Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。

该怎么做？

您无需采取任何行动。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE 集群（包括 Autopilot 集群）会受到影响。

使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

2023-07-11 更新：Ubuntu 补丁版本已发布。

以下 GKE 版本已更新，包含修复 CVE-2023-31436 的最新 Ubuntu 版本：

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

解决了哪些漏洞？

在 CVE-2023-31436 中，在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞，攻击者通过不正确的网络设备 MTU 值（用作 lmax）触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE on VMware 集群会受到影响。

该怎么做？

解决了哪些漏洞？

在 CVE-2023-31436 中，在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞，攻击者通过不正确的网络设备 MTU 值（用作 lmax）触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE on AWS 集群会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

在 CVE-2023-31436 中，在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞，攻击者通过不正确的网络设备 MTU 值（用作 lmax）触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE on Azure 集群会受到影响。

该怎么做？

该补丁解决了哪些漏洞？

在 CVE-2023-31436 中，在 Linux 内核的流量控制 (QoS) 子系统中发现了一个越界内存访问漏洞，攻击者通过不正确的网络设备 MTU 值（用作 lmax）触发 qfq_change_class 函数。本地用户可利用此漏洞使系统崩溃或提升其在系统上的权限。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。

Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。

该怎么做？

您无需采取任何行动。

在 Anthos Service Mesh (ASM) 中使用的 Envoy 中发现了多个漏洞。这些漏洞单独报告为 GCP-2023-002。

GKE 不附带 ASM，因此不受这些漏洞的影响。

该怎么做？

如果您已为 GKE 集群单独安装 ASM，请参阅 GCP-2023-002。

在 GKE on VMware 中的 Anthos Service Mesh 中使用的 Envoy 中发现了多个漏洞（CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487），恶意攻击者可利用这些漏洞发起拒绝服务攻击或使 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002，但我们希望确保 GKE Enterprise 客户更新包含 ASM 的版本。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.13.8
• 1.14.5
• 1.15.1

该补丁解决了哪些漏洞？

CVE-2023-27496：如果 Envoy 在启用 OAuth 过滤器的情况下运行，恶意行为体可能会构造请求，通过使 Envoy 崩溃形成拒绝服务攻击。

CVE-2023-27488：使用 ext_authz 时，攻击者可以利用此漏洞绕过身份验证检查。

CVE-2023-27493：Envoy 配置还必须包含一个选项，用于添加使用请求中的输入生成的请求标头，例如对等证书 SAN。

CVE-2023-27492：攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。

CVE-2023-27491：攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求，从而触发 HTTP/1 上游服务的解析错误。

CVE-2023-27487：标头 x-envoy-original-path 应该是内部标头，但当请求从不受信任的客户端发出时，Envoy 不会在请求处理开始时从请求中移除此标头。

在 Anthos Service Mesh 中使用的 Envoy 中发现了多个漏洞（CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487）。这些漏洞单独报告为 GCP-2023-002。

GKE on AWS 未附带 ASM，因此不受影响。

该怎么做？

您无需采取任何行动。

在 Anthos Service Mesh 中使用的 Envoy 中发现了多个漏洞（CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487）。这些漏洞单独报告为 GCP-2023-002。

GKE on Azure 不附带 ASM，因此不受影响。

该怎么做？

您无需采取任何行动。

在 GKE on Bare Metal 中的 Anthos Service Mesh 中使用的 Envoy 中发现了多个漏洞（CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487），恶意攻击者可利用这些漏洞发起拒绝服务攻击或使 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002，但我们希望确保 GKE Enterprise 客户更新包含 ASM 的版本。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on Bare Metal 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on Bare Metal 版本之一：

• 1.13.9
• 1.14.6
• 1.15.2

该补丁解决了哪些漏洞？

CVE-2023-27496：如果 Envoy 在启用 OAuth 过滤器的情况下运行，恶意行为体可能会构造请求，通过使 Envoy 崩溃形成拒绝服务攻击。

CVE-2023-27488：使用 ext_authz 时，攻击者可以利用此漏洞绕过身份验证检查。

CVE-2023-27493：Envoy 配置还必须包含一个选项，用于添加使用请求中的输入生成的请求标头，例如对等证书 SAN。

CVE-2023-27492：攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。

CVE-2023-27491：攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求，从而触发 HTTP/1 上游服务的解析错误。

CVE-2023-27487：标头 x-envoy-original-path 应该是内部标头，但当请求从不受信任的客户端发出时，Envoy 不会在请求处理开始时从请求中移除此标头。

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。GKE 集群（包括 Autopilot 集群）会受到影响。

使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.25.7-gke.1200
• 1.26.2-gke.1200

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

解决了哪些漏洞？

在 CVE-2023-0468 中，在 Linux 内核中 io_uring 子组件中的 io_poll_check_events 中的 io_uring/poll.c 中发现了 use-after-free 漏洞。此漏洞可能会导致 NULL 指针解引用，并且可能导致系统崩溃，进而导致拒绝服务攻击。

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。

GKE on VMware 使用 5.4 版 Linux 内核，不受此 CVE 的影响。

该怎么做？

• 您无需执行任何操作

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。

GKE on AWS 不受此 CVE 的影响。

该怎么做？

• 您无需执行任何操作

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。

GKE on Azure 不受此 CVE 的影响

该怎么做？

• 您无需执行任何操作

在 Linux 内核 5.15 版中发现了一个新漏洞 (CVE-2023-0468)，此漏洞可能导致节点上的拒绝服务攻击。

Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响。

该怎么做？

• 您无需执行任何操作

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。

GKE 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。 Anthos on VMware 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。

所有版本的 Anthos on VMware 都可能易受 CVE-2023-2728 的影响。

该怎么做？

2023 年 8 月 11 日更新：我们更新了以下 GKE on VMware 版本，添加了用于修复此漏洞的代码。将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.13.10
• 1.14.6
• 1.15.3

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。
Anthos on AWS 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。
所有版本的 Anthos on AWS 都可能易受 CVE-2023-2728 的影响。

该怎么做？

2023 年 8 月 11 日更新：以下版本的 GKE on AWS 已更新了代码，以修复此漏洞。将节点升级到以下 GKE on AWS 版本：

• 1.15.2

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。
Anthos on Azure 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。
所有版本的 Anthos on Azure 都可能易受 CVE-2023-2728 的影响。

该怎么做？

2023 年 8 月 11 日更新：以下版本的 GKE on Azure 已更新了代码，以修复此漏洞。将节点升级到以下 GKE on Azure 版本：

• 1.15.2

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。
Anthos on Bare Metal 不使用 ImagePolicyWebhook，因此不受 CVE-2023-2727 的影响。
所有版本的 Anthos on Bare Metal 都可能易受 CVE-2023-2728 的影响。

该怎么做？

2023 年 8 月 11 日更新：我们更新了以下版本的 Google Distributed Cloud Virtual for Bare Metal，添加了代码以修复此漏洞。将节点升级到以下 Google Distributed Cloud Virtual for Bare Metal 版本之一：

• 1.13.9
• 1.14.7
• 1.15.3

解决了哪些漏洞？

在 CVE-2023-2727 中，在使用临时容器时，用户可能能够使用受 ImagePolicyWebhook 限制的映像启动容器。仅当 ImagePolicyWebhook 准入插件与临时容器一起使用时，Kubernetes 集群才会受到影响。还可以使用验证 webhook（例如 Gatekeeper 和 Kyverno）来强制执行相同的限制，以缓解此 CVE。

在 CVE-2023-2728 中，在使用临时容器时，用户可能能够启动绕过 ServiceAccount 准入插件强制执行的可装载 Secret 政策的容器。该政策可确保使用服务账号运行的 Pod 只能引用服务账号的 Secret 字段中指定的 Secret。在以下情况下，集群会受到此漏洞的影响：

• 使用了 ServiceAccount 准入插件。
• 服务账号使用 kubernetes.io/enforce-mountable-secrets 注解。默认不添加此注解。
• Pod 使用临时容器。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE 不受此 CVE 的影响。

该怎么做？

虽然 GKE 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE on VMware 不受此 CVE 影响。

该怎么做？

虽然 GKE on VMware 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE on AWS 不受此 CVE 的影响。

该怎么做？

虽然 GKE on AWS 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE on Azure 不受此 CVE 的影响

该怎么做？

虽然 GKE on Azure 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。

GKE on Bare Metal 不受此 CVE 的影响。

该怎么做？

虽然 GKE on Bare Metal 不受影响，但如果您安装了 secrets-store-csi-driver 组件，应使用补丁版本更新安装。

该补丁解决了哪些漏洞？

在 secrets-store-csi-driver 中发现了漏洞 CVE-2023-2878，有权访问驱动程序日志的行为体可以看到服务账号令牌。然后，这些令牌可能用于与外部云服务商交换，以访问存储在云保险柜解决方案中的密钥。只有在 CSIDriver 对象中配置了 TokenRequest 并且通过 -v 标志将驱动程序设置为在日志级别 2 或更高级别运行时，系统才会记录令牌。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。GKE Standard 和 Autopilot 集群会受到影响。

使用 GKE Sandbox 的集群不受影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞，攻击者利用此漏洞可以实现本地权限提升。io_file_get_fixed 函数缺少 ctx->uring_lock，从而导致因竞态条件（固定文件变为未注册）引起的 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

该怎么做？

该补丁解决了哪些漏洞？

CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞，攻击者利用此漏洞可以实现本地权限提升。io_file_get_fixed 函数缺少 ctx->uring_lock，从而导致因竞态条件（固定文件变为未注册）引起的 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

该怎么做？

以下版本的 GKE on AWS 已使用代码进行更新，以修复这些漏洞：

该补丁解决了哪些漏洞？

CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞，攻击者利用此漏洞可以实现本地权限提升。io_file_get_fixed 函数缺少 ctx->uring_lock，从而导致因竞态条件（固定文件变为未注册）引起的 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

该怎么做？

为了修复这些漏洞，我们已对以下版本的 GKE on Azure 进行了代码更新：

该补丁解决了哪些漏洞？

CVE-2023-1872 是 Linux 内核的 io_uring 子系统中的 use-after-free 漏洞，攻击者利用此漏洞可以实现本地权限提升。io_file_get_fixed 函数缺少 ctx->uring_lock，从而导致因竞态条件（固定文件变为未注册）引起的 use-after-free 漏洞。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

GKE on Bare Metal 不受此 CVE 的影响。

该怎么做？

您无需执行任何操作。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。GKE Standard 集群会受到影响。

GKE Autopilot 集群和使用 GKE Sandbox 的集群不受影响。

该怎么做？

2023-06-06 更新：Ubuntu 补丁版本已发布。

以下 GKE 版本已更新，包含修复 CVE-2023-1281 和 CVE-2023-1829 的最新 Ubuntu 版本：

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞，攻击者可以利用这些漏洞实现本地权限提升。

在 CVE-2023-1829 中，在某些情况下，tcindex_delete 函数不能正确停用过滤器，这可能会导致双重释放数据结构。

在 CVE-2023-1281 中，不完整的哈希区域可以在数据包传输时更新，当使用已销毁的 tcf_ext 调用 tcf_exts_exec() 时将导致 use-after-free 漏洞。本地攻击者可以利用此漏洞将其权限提升为 root。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

该怎么做？

该补丁解决了哪些漏洞？

CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞，攻击者可以利用这些漏洞实现本地权限提升。

在 CVE-2023-1829 中，在某些情况下，tcindex_delete 函数不能正确停用过滤器，这可能会导致双重释放数据结构。

在 CVE-2023-1281 中，不完整的哈希区域可以在数据包传输时更新，当使用已销毁的 tcf_ext 调用 tcf_exts_exec() 时将导致 use-after-free 漏洞。本地攻击者可以利用此漏洞将其权限提升为 root。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

该怎么做？

该补丁解决了哪些漏洞？

CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞，攻击者可以利用这些漏洞实现本地权限提升。

在 CVE-2023-1829 中，在某些情况下，tcindex_delete 函数不能正确停用过滤器，这可能会导致双重释放数据结构。

在 CVE-2023-1281 中，不完整的哈希区域可以在数据包传输时更新，当使用已销毁的 tcf_ext 调用 tcf_exts_exec() 时将导致 use-after-free 漏洞。本地攻击者可以利用此漏洞将其权限提升为 root。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

该怎么做？

该补丁解决了哪些漏洞？

CVE-2023-1281 和 CVE-2023-1829 都是 Linux 内核流量控制索引过滤器 (tcindex) 中的 use-after-free 漏洞，攻击者可以利用这些漏洞实现本地权限提升。

在 CVE-2023-1829 中，在某些情况下，tcindex_delete 函数不能正确停用过滤器，这可能会导致双重释放数据结构。

在 CVE-2023-1281 中，不完整的哈希区域可以在数据包传输时更新，当使用已销毁的 tcf_ext 调用 tcf_exts_exec() 时将导致 use-after-free 漏洞。本地攻击者可以利用此漏洞将其权限提升为 root。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

GKE on Bare Metal 不受此 CVE 影响。

该怎么做？

您无需执行任何操作。

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。COS 使用 5.10.162 之前的 Linux 内核 5.10 版本的 GKE 集群（包括 Autopilot 集群）会受到影响。使用 Ubuntu 映像或使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

为了修复这些漏洞，我们已对以下 GKE 版本进行了代码更新。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

漏洞 1 (CVE-2023-0240)：io_uring 中的竞态条件可能导致完全的容器逃逸，从而获得节点的 root 权限。5.10.162 之前的 Linux 内核 5.10 版本不受影响。

漏洞 2 (CVE-2023-23586)：io_uring/time_ns 中的 use-after-free (UAF) 漏洞可能导致完全的容器逃逸，从而获得节点的 root 权限。5.10.162 之前的 Linux 内核 5.10 版本不受影响。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。在 5.10.162 之前，具有 COS 且使用 5.10 版 Linux 内核的 GKE on VMware 集群会受到影响。使用 Ubuntu 映像的 GKE Enterprise 集群不受影响。

该怎么做？

以下版本的 GKE on VMware 已使用代码进行更新，以修复这些漏洞：

• 1.12.6
• 1.13.5

该补丁解决了哪些漏洞？

漏洞 1 (CVE-2023-0240)：io_uring 中的竞态条件可能导致完全的容器逃逸，从而获得节点的 root 权限。5.10.162 之前的 Linux 内核 5.10 版本不受影响。

漏洞 2 (CVE-2023-23586)：io_uring/time_ns 中的 use-after-free (UAF) 漏洞可能导致完全的容器逃逸，从而获得节点的 root 权限。5.10.162 之前的 Linux 内核 5.10 版本不受影响。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。GKE on AWS 不受这些 CVE 的影响。

该怎么做？

您无需执行任何操作。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。GKE on Azure 不受这些 CVE 的影响

该怎么做？

您无需执行任何操作。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。GKE on Bare Metal 不受这些 CVE 的影响。

该怎么做？

您无需执行任何操作。

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。GKE 集群（包括 Autopilot 集群）会受到影响。使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将集群和节点池手动升级到以下 GKE 版本之一：

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

CVE-2022-4696 是在 Linux 内核中的 io_uring 和 ioring_op_splice 中发现的 use-after-free 漏洞。本地用户可利用此漏洞创建本地权限提升。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。运行 v1.12 和 v1.13 的 GKE on VMware 会受到影响。运行 v1.14 或更高版本的 GKE on VMware 不受影响。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.12.5
• 1.13.5

该补丁解决了哪些漏洞？

CVE-2022-4696 是在 Linux 内核中的 io_uring 和 ioring_op_splice 中发现的 use-after-free 漏洞。本地用户可利用此漏洞创建本地权限提升。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。GKE on AWS 不受此漏洞的影响。

该怎么做？

您无需采取任何行动。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。GKE on Azure 不受此漏洞的影响。

该怎么做？

您无需采取任何行动。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。GKE on Bare Metal 不受此漏洞的影响。

该怎么做？

您无需采取任何行动。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。虽然这在 NVD 数据库中被评为高，但 GKE 端点使用 boringSSL 或不受影响的旧版 OpenSSL，因此 GKE 的评级已降至中等。

该怎么做？

以下版本的 GKE 已进行了代码更新，修复了此漏洞：

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

对于 CVE-2022-3786 和 CVE-2022-3602，X.509 证书验证可能会触发缓冲区溢出，从而导致崩溃，并进一步导致拒绝服务。为了利用此漏洞，此漏洞需要 CA 签署恶意证书或让应用继续执行证书验证，即使未能构建通向受信任颁发者的路径也是如此。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

该怎么做？

GKE on VMware 不受此 CVE 的影响，因为它不使用受影响的 OpenSSL 版本。

该补丁解决了哪些漏洞？

您无需执行任何操作。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

该怎么做？

GKE on AWS 不受此 CVE 的影响，因为它不使用受影响的 OpenSSL 版本。

该补丁解决了哪些漏洞？

您无需执行任何操作。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

该怎么做？

GKE on Azure 不受此 CVE 影响，因为它不使用受影响的 OpenSSL 版本。

该补丁解决了哪些漏洞？

您无需执行任何操作。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

该怎么做？

GKE on Bare Metal 不受此 CVE 的影响，因为它不使用受影响的 OpenSSL 版本。

该补丁解决了哪些漏洞？

您无需执行任何操作。

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。GKE 集群（包括 Autopilot 集群）会受到影响。

使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

2023 年 1 月 19 日更新：1.21.14-gke.14100 版已发布。将节点池升级到此版本或更高版本。

以下版本的 GKE 已更新代码以在即将发布的版本中修复此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• Container-Optimized OS：
  • 1.22.16-gke.1300 及更高版本
  • 1.23.14-gke.401 及更高版本
  • 1.24.7-gke.900 及更高版本
  • 1.25.4-gke.1600 及更高版本
• Ubuntu：
• 1.22.15-gke.2500 及更高版本
• 1.23.13-gke.900 及更高版本
• 1.24.7-gke.900 及更高版本
• 1.25.3-gke.800 及更高版本

借助发布渠道的最新功能，您可以应用补丁，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

使用 CVE-2022-2602 时，io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。

GKE on VMware 1.11、1.12 和 1.13 版本会受到影响。

该怎么做？

将集群升级到修补后的版本。以下版本的 GKE on VMware 包含修复此漏洞的代码：

• 1.13.2
• 1.12.4
• 1.11.5

该补丁解决了哪些漏洞？

使用 CVE-2022-2602 时，io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。

该怎么做？

以下当前一代和上一代版本的 GKE on AWS 已更新，包含用于修复此漏洞的代码。我们建议您将节点升级到以下 GKE on AWS 版本之一：

• 当前一代：
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• 上一代：
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

该补丁解决了哪些漏洞？

使用 CVE-2022-2602 时，io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。

该怎么做？

以下版本的 GKE on Azure 已更新，包含用于修复此漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一：

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

该补丁解决了哪些漏洞？

使用 CVE-2022-2602 时，io_uring 请求处理和 Unix 套接字垃圾回收之间的竞态条件可能会导致 use-after-free 漏洞。本地攻击者可能会利用此漏洞触发拒绝服务攻击或执行任意代码。

我们在 Linux 内核的 io_uring 子系统中发现了一个新漏洞 (CVE-2022-2602)，该漏洞可能会允许攻击者执行任意代码。

GKE on Bare Metal 不受此 CVE 的影响，因为它未在其发行版中捆绑操作系统。

该怎么做？

您无需执行任何操作。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。GKE 集群（包括 Autopilot 集群）会受到影响。

使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

2023 年 1 月 19 日更新：1.21.14-gke.14100 版已发布。将节点池升级到此版本或更高版本。

2022 年 12 月 16 日更新：因版本后退而对先前版本的公告进行了修订。请将节点池手动升级到以下 GKE 版本之一：

• 1.22.16-gke.1300 及更高版本
• 1.23.14-gke.401 及更高版本
• 1.24.7-gke.900 及更高版本
• 1.25.4-gke.1600 及更高版本

以下版本的 GKE 已进行了代码更新，修复了此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• 1.21.14-gke.9500
• 1.24.7-gke.900

GKE v1.22、1.23 和 1.25 的更新即将推出。推出以后，此安全公告会更新。

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

• 对于 CVE-2022-2585，posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞，具体取决于定时器的创建和删除方式。
• 对于 CVE-2022-2588，Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃，并可能导致本地权限提升。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

GKE on VMware 1.13、1.12 和 1.11 版本会受到影响。

该怎么做？

2022 年 12 月 16 日更新：以下版本的 GKE on VMware 已更新，包含用于修复此漏洞的代码。建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.13.2
• 1.12.4
• 1.11.6

• 注意：包含 Container-Optimized OS 补丁的 GKE on VMware 版本即将发布。当 GKE on VMware 版本可供下载时，本安全公告将会更新。

该补丁解决了哪些漏洞？

• 对于 CVE-2022-2585，posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞，具体取决于定时器的创建和删除方式。
• 对于 CVE-2022-2588，Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃，并可能导致本地权限提升。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

AWS 上的以下版本的 Kubernetes 可能会受到影响：

• 1.23：1.23.9-gke.800 之前的版本。较新的次要版本不受影响
• 1.22：1.22.12-gke.1100 之前的版本。较新的次要版本不受影响

Kubernetes V1.24 不受影响。

该怎么做？

我们建议您将集群升级到以下 AWS Kubernetes 版本之一：

• 1.23：高于 v1.23.9-gke.800 的版本
• 1.22：高于 1.22.12-gke-1100 的版本

解决了哪些漏洞？

对于 CVE-2022-2585，posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞，具体取决于定时器的创建和删除方式。

对于 CVE-2022-2588，Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃，并可能导致本地权限提升。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

Azure 上的以下版本的 Kubernetes 可能会受到影响：

• 1.23：1.23.9-gke.800 之前的版本。较新的次要版本不受影响。
• 1.22：1.22.12-gke.1100 之前的版本。较新的次要版本不受影响。

Kubernetes V1.24 不受影响。

该怎么做？

我们建议您将集群升级到以下 Azure Kubernetes 版本之一：

• 1.23：高于 v1.23.9-gke.800 的版本
• 1.22：高于 1.22.12-gke-1100 的版本

解决了哪些漏洞？

对于 CVE-2022-2585，posix cpu 定时器中的定时器清理不当会导致出现“释放后使用”漏洞，具体取决于定时器的创建和删除方式。

对于 CVE-2022-2588，Linux 内核的 route4_change 中发现“释放后使用”缺陷。此缺陷允许本地用户让系统崩溃，并可能导致本地权限提升。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

GKE on Bare Metal 不受此 CVE 的影响，因为它未在其发行版中捆绑操作系统。

该怎么做？

您无需执行任何操作。

在 Anthos Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278，它允许恶意攻击者使控制平面崩溃。

该怎么做？

Google Kubernetes Engine (GKE) 不包含 Istio，因此不受此漏洞的影响。但是，如果您已在 GKE 集群上单独安装 Anthos Service Mesh 或 Istio，请参阅 GCP-2022-020（有关此 CVE 的 Anthos Service Mesh 安全公告）了解详情。

在 GKE on VMware 的 Anthos Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278，它允许恶意攻击者使 Istio 控制平面崩溃。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本之一：

• 1.11.4
• 1.12.3
• 1.13.1

该补丁解决了哪些漏洞？

由于存在 CVE-2022-39278 漏洞，Istio 控制平面 istiod 容易受到请求处理错误的影响，允许恶意攻击者发送特制消息，从而在集群的验证网络钩子公开暴露时导致控制平面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

在 Anthos Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278，它允许恶意攻击者使控制平面崩溃。

该怎么做？

GKE on AWS 不受此漏洞的影响，您无需执行任何操作。

在 Anthos Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278，它允许恶意攻击者使控制平面崩溃。

该怎么做？

GKE on Azure 不受此漏洞的影响，您无需执行任何操作。

在 GKE on Bare Metal 的 Anthos Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278，它允许恶意攻击者使 Istio 控制平面崩溃。

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on Bare Metal 进行了代码更新。我们建议您将集群升级到以下 GKE on Bare Metal 版本之一：

• 1.11.7
• 1.12.4
• 1.13.1

该补丁解决了哪些漏洞？

由于存在 CVE-2022-39278 漏洞，Istio 控制平面 istiod 容易受到请求处理错误的影响，允许恶意攻击者发送特制消息，从而在集群的验证网络钩子公开暴露时导致控制平面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409)，该漏洞可能会导致本地权限提升。使用 Container-Optimized OS 93 和 97 的 Google Kubernetes Engine (GKE) v1.22、v1.23 和 v1.24 集群（包括 Autopilot 集群）会受到影响。其他受支持的 GKE 版本不受影响。使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

2022 年 12 月 14 日更新：因版本后退而对先前版本的公告进行了修订。请将节点池手动升级到以下 GKE 版本之一：

• 1.22.15-gke.2500 及更高版本
• 1.23.13-gke.900 及更高版本
• 1.24.7-gke.900 及更高版本

使用 Container-Optimized OS 版本 93 和 97 的以下 GKE 版本已更新代码以在即将发布的版本中修复此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• 1.22.15-gke.2300 及更高版本
• 1.23.13-gke.700 及更高版本
• 1.24.7-gke.700 及更高版本

发布渠道的最新功能可让您应用补丁，而无需退订渠道。此功能允许您保护节点，直到新版本成为您的发布专用渠道的默认版本。

该补丁解决了哪些漏洞？

由于 CVE-2022-20409，Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞，可能会发生内存损坏。本地攻击者可以利用这种内存损坏进行拒绝服务攻击（系统崩溃），或者可能会执行任意代码。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409)，该漏洞可能会导致本地权限提升。

该怎么做？

2022 年 12 月 14 日更新：以下版本的 GKE on VMware for Ubuntu 已更新，内含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on VMware 版本之一：

• 1.13.1 及更高版本
• 1.12.3 及更高版本
• 1.11.4 及更高版本

该补丁解决了哪些漏洞？

由于 CVE-2022-20409，Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞，可能会发生内存损坏。本地攻击者可能会利用这种内存损坏情况执行拒绝服务攻击（系统崩溃），或者可能会执行任意代码。

在 Linux 内核中发现了一个新漏洞 CVE-2022-20409，该漏洞可能会允许无特权的用户提升到拥有系统执行特权。

该怎么做？

您无需执行任何操作。GKE on AWS 不使用受影响的 Linux 内核版本。

该补丁解决了哪些漏洞？

由于 CVE-2022-20409，Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞，可能会发生内存损坏。本地攻击者可能会利用这种内存损坏情况执行拒绝服务攻击（系统崩溃），或者可能会执行任意代码。

在 Linux 内核中发现了一个新漏洞 CVE-2022-20409，该漏洞可能会允许无特权的用户提升到拥有系统执行特权。

该怎么做？

您无需执行任何操作。GKE on Azure 不使用受影响的 Linux 内核版本。

该补丁解决了哪些漏洞？

由于 CVE-2022-20409，Linux 内核在 io_uring 子系统的 io_identity_cow 中有一个漏洞。因 Use-After-Free (UAF) 漏洞，可能会发生内存损坏。本地攻击者可能会利用这种内存损坏情况执行拒绝服务攻击（系统崩溃），或者可能会执行任意代码。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-20409)，该漏洞可能会导致本地权限提升。

该怎么做？

• 您无需执行任何操作。GKE on Bare Metal 不受此 CVE 的影响，因为它未在发行版中捆绑操作系统。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 Container-Optimized OS 版本 89 的 Google Kubernetes Engine (GKE) v1.21 集群（包括 Autopilot 集群）会受到影响。更高版本的 GKE 不受影响。所有运行 Ubuntu 的 Linux 集群都会受到影响。使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

2023 年 1 月 19 日更新：1.21.14-gke.14100 版已发布。将节点池升级到此版本或更高版本。

2022 年 12 月 15 日更新：1.21.14-gke.9400 版正在等待发布，并可能被更高的版本号取代。当所述新版本可用时，我们将更新此文档。

以下版本的 GKE 已更新代码以在即将发布的版本中修复此漏洞。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• Container-Optimized OS：
  • 1.21.14-gke.7100 及更高版本
• Ubuntu：
• 1.21.14-gke.9400 及更高版本
• 1.22.15-gke.2400 及更高版本
• 1.23.13-gke.800 及更高版本
• 1.24.7-gke.800 及更高版本
• 1.25.3-gke.700 及更高版本

发布渠道的最新功能可让您应用补丁，而无需退订渠道。此功能允许您保护节点，直到新版本成为您的发布专用渠道的默认版本。

该补丁解决了哪些漏洞？

由于 CVE-2022-3176，Linux 内核在 io_uring 子系统中有一个漏洞。 缺少 POLLFREE 处理可能会导致 Use-After-Free (UAF) 漏洞被用于提升权限。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

该怎么做？

• 使用 Container-Optimized OS 的 GKE on VMware 版本不受影响。

2022 年 11 月 21 日更新：以下版本的 GKE on VMware for Ubuntu 已更新，内含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on VMware 版本之一：

• 1.12.3 及更高版本
• 1.13.1 及更高版本
• 1.11.5 及更高版本

包含 Ubuntu 补丁的 GKE on VMware 版本很快就会发布。当 GKE on VMware 版本可供下载时，本安全公告将更新。

该补丁解决了哪些漏洞？

由于 CVE-2022-3176，Linux 内核在 io_uring 子系统中有一个漏洞。 缺少 POLLFREE 处理可能会导致 Use-After-Free (UAF) 漏洞被用于提升权限。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

该怎么做？

2022 年 11 月 21 日更新：GKE on AWS 的以下当前和先前世代版本已更新，包含可以修复此漏洞的代码。我们建议您将节点升级到以下 GKE on AWS 版本之一：

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

包含 Ubuntu 补丁的 GKE on AWS 版本很快就会发布。当 GKE on AWS 版本可供下载时，本安全公告将更新。

该补丁解决了哪些漏洞？

由于 CVE-2022-3176，Linux 内核在 io_uring 子系统中有一个漏洞。 缺少 POLLFREE 处理可能会导致 Use-After-Free (UAF) 漏洞被用于提升权限。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

该怎么做？

2022 年 11 月 21 日更新：以下 GKE on Azure 版本已更新，包含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一：

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

包含 Ubuntu 补丁的 GKE on Azure 版本即将推出。当 GKE on Azure 版本可供下载时，我们将更新本安全公告。

该补丁解决了哪些漏洞？

由于 CVE-2022-3176，Linux 内核在 io_uring 子系统中有一个漏洞。 缺少 POLLFREE 处理可能会导致 Use-After-Free (UAF) 漏洞被用于提升权限。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

该怎么做？

您无需执行任何操作，GKE on Bare Metal 不受此 CVE 的影响，因为它未在发行版中捆绑操作系统。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327)，该漏洞可能会导致本地权限升级。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

技术详情

2023 年 12 月 21 日更新：原始公告中指出 Autopilot 集群受到了影响，但事实不正确。默认配置中的 GKE Autopilot 集群不受影响，但如果您明确设置 seccomp Unconfined 配置文件或允许 CAP_NET_ADMIN，则可能会容易受到攻击。

使用 Linux 内核版本 5.10 且具有 Container-Optimized OS (COS) 的 GKE 集群（包括 Autopilot 集群）会受到影响。使用 Ubuntu 映像或使用 GKE Sandbox 的 GKE 集群不受影响。

该怎么做？

将 GKE 集群升级到包含该修复的版本。 COS 的 Linux 节点映像以及使用这些 COS 版本的 GKE 版本已更新。

出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

COS 版本

• 1.22.12-gke.300

• 1.23.8-gke.1900

• 1.24.2-gke.1900

该补丁解决了哪些漏洞？

• CVE-2022-2327

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

使用 GKE on VMware 版本 1.10、1.11 和 1.12 且具有 Container Optimized OS (COS) 映像的集群会受到影响。

该怎么做？

2022 年 9 月 14 日更新：以下版本的 GKE on VMware 包含修复此漏洞的代码。

• 1.10.6 或更高版本
• 1.11.3 或更高版本
• 1.12.1 或更高版本

包含补丁的 GKE on VMware 版本即将推出。当 GKE on VMware 版本可供下载时，本安全公告将更新。

该补丁解决了哪些漏洞？

• CVE-2022-2327

由于 CVE-2022-2327，5.10 版中的 Linux 内核在 io_uring 子系统中存在一个漏洞，其中各种请求都缺少项类型（标志）。如果没有指定适当的项类型，使用这些请求可能会导致权限提升到 root 权限。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

该怎么做？

2022 年 9 月 14 日更新：GKE on AWS 的以下当前和先前世代版本已更新，包含可以修复此漏洞的代码。我们建议您将节点升级到以下 GKE on AWS 版本之一：

当前世代

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

先前世代

• 1.23.8-gke.2000
• 1.22.12-gke.300
• 1.21.14-gke.2100

包含补丁的 GKE on AWS 版本很快就会发布。当 GKE on AWS 版本可供下载时，本安全公告将更新。

该补丁解决了哪些漏洞？

• CVE-2022-2327

由于 CVE-2022-2327，5.10 版中的 Linux 内核在 io_uring 子系统中存在一个漏洞，其中各种请求都缺少项类型（标志）。如果没有指定适当的项类型，使用这些请求可能会导致权限提升到 root 权限。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

该怎么做？

2022 年 9 月 14 日更新：以下 GKE on Azure 版本已更新，包含修复此漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一：

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

包含补丁的 GKE on Azure 版本很快就会发布。 当 GKE on Azure 版本可供下载时，我们将更新本安全公告。

该补丁解决了哪些漏洞？

• CVE-2022-2327

由于 CVE-2022-2327，5.10 版中的 Linux 内核在 io_uring 子系统中存在一个漏洞，其中各种请求都缺少项类型（标志）。如果没有指定适当的项类型，使用这些请求可能会导致权限提升到 root 权限。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

该怎么做？

您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响，因为它不会在其发行版中捆绑操作系统。

2022 年 11 月 22 日更新：使用 GKE Sandbox 的工作负载不受这些漏洞的影响。

在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。只有运行 Container-Optimized OS 的集群会受到影响。GKE Ubuntu 版本使用内核版本 5.4 或 5.15，并且不受影响。

该怎么做？

以下 GKE 版本的 Container-Optimized OS 的 Linux 节点映像版本已更新，内含修复此漏洞的代码。出于安全考虑，即使您启用了节点自动升级，我们也建议您将节点池手动升级到以下即将推出的 GKE 版本之一：

• 1.22.10-gke.600
• 1.23.7-gke.1400
• 1.24.1-gke.1400

发布渠道的一项最新功能允许您无需退订渠道即可应用补丁。这样，在修补后的版本成为您的所选发布渠道中的默认版本之前，您就可以将节点升级到该版本。

该补丁解决了哪些漏洞？

CVE-2022-1786 导致 Linux 内核的 io_uring 子系统中出现了一个释放后重用 (use-after-free) 缺陷。如果用户使用 IORING_SETUP_IOPOLL 设置一个环，其中有多个任务在环上完成了提交，则本地用户可能破坏或提升其在系统上的权限。

在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。

该怎么做？

2022 年 7 月 21 日更新：以下版本的 GKE on VMware 包含修复此漏洞的代码。

COS

• 1.10.5 或更高版本
• 1.11.2 或更高版本
• 1.12.0 或更高版本

Ubuntu

您无需执行任何操作。GKE on VMware 不使用受影响的 Linux 内核版本。

在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。

该怎么做？

您无需执行任何操作。GKE on AWS 不会使用受影响的 Linux 内核版本。

在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。

该怎么做？

您无需执行任何操作。GKE on Azure 不使用受影响的 Linux 内核版本。

在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。

该怎么做？

您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响，因为它不会在其发行版中捆绑操作系统。

2022 年 11 月 22 日更新：Autopilot 集群不受 CVE-2022-29581 影响，但容易受到 CVE-2022-29582 和 CVE-2022-1116 的影响。

2022-07-29 更新：使用 GKE Sandbox 的 Pod 不会受到这些漏洞的影响。

在 Linux 内核中发现了三个新的内存损坏漏洞（CVE-2022-29581、CVE-2022-29582、CVE-2022-1116）。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。所有 Linux 集群（Container-Optimized OS 和 Ubuntu）都会受到影响。

该怎么做？

以下 GKE 版本的 Container-Optimized OS 和 Ubuntu 的 Linux 节点映像版本已更新，内含修复此漏洞的代码。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• Container-Optimized OS：
  • 1.19.16-gke.13800
  • 1.20.15-gke.8000
  • 1.21.12-gke.1500
  • 1.22.9-gke.1300
  • 1.23.6-gke.1500
  • 1.24.1-gke.1400
• Ubuntu：
  • 1.20.15-gke.9600
  • 1.21.13-gke.900
  • 1.22.10-gke.600
  • 1.23.7-gke.1400
  • 1.24.1-gke.1400

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，在修补后的版本成为您的所选发布渠道中的默认版本之前，您就可以将节点升级到该版本。

该补丁解决了哪些漏洞？

CVE-2022-29582 导致低于 5.17.3 版的 Linux 内核由于 io_uring 超时中的竞态条件而出现释放后重用 (use-after-free) 漏洞。

CVE-2022-29581 和 CVE-2022-1116 漏洞允许本地攻击者触发 io_uring 中的内存损坏或 Linux 内核中的 net/sched，从而将权限提升为 root 权限。

2022 年 7 月 29 日更新：以下版本的 GKE on VMware 包含修复这些漏洞的代码。

• 1.9.7 或更高版本
• 1.10.5 或更高版本
• 1.11.2 或更高版本
• 1.12.0 或更高版本

在 Linux 内核中发现了三个新的内存损坏漏洞（CVE-2022-29581、CVE-2022-29582、CVE-2022-1116）。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。这些漏洞会影响使用 Container-Optimized OS 和 Ubuntu 映像的 GKE on VMware v1.9 及更高版本。

该怎么做？

包含补丁的 GKE on VMware 版本即将推出。当 GKE on VMware 版本可供下载时，本安全公告将会更新。

该补丁解决了哪些漏洞？

CVE-2022-29582 导致低于 5.17.3 版的 Linux 内核由于 io_uring 超时中的竞态条件而出现释放后重用 (use-after-free) 漏洞。

CVE-2022-29581 和 CVE-2022-1116 漏洞允许本地攻击者触发 io_uring 中的内存损坏或 Linux 内核中的 net/sched，从而将权限提升为 root 权限。

2022-07-29 更新：更新：GKE on AWS 的以下和上一代版本已更新，包含可以修复这些漏洞的代码。我们建议您将节点升级到以下 GKE on AWS 版本之一：

当前世代：

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

• 1.23.7-gke.1500
• 1.22.10-gke.1500
• 1.21.13-gke.1600

在 Linux 内核中发现了三个新的内存损坏漏洞（CVE-2022-29581、CVE-2022-29582、CVE-2022-1116）。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。以下漏洞会影响 GKE on AWS 的所有版本。

该怎么做？

包含补丁的 GKE on AWS 版本很快就会发布。当 GKE on AWS 版本可供下载时，本安全公告将会更新。

该补丁解决了哪些漏洞？

CVE-2022-29582 导致低于 5.17.3 版的 Linux 内核由于 io_uring 超时中的竞态条件而出现释放后重用 (use-after-free) 漏洞。

CVE-2022-29581 和 CVE-2022-1116 漏洞允许本地攻击者触发 io_uring 中的内存损坏或 Linux 内核中的 net/sched，从而将权限提升为 root 权限。

2022-07-29 更新：更新：以下版本的 GKE on Azure 已进行更新，包含可以修复这些漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一：

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

在 Linux 内核中发现了三个新的内存损坏漏洞（CVE-2022-29581、CVE-2022-29582、CVE-2022-1116）。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。这些漏洞会影响所有版本的 GKE on Azure。

该怎么做？

包含补丁的 GKE on Azure 版本很快就会发布。当 GKE on Azure 版本可供下载时，我们将更新本安全公告。

该补丁解决了哪些漏洞？

CVE-2022-29582 导致低于 5.17.3 版的 Linux 内核由于 io_uring 超时中的竞态条件而出现释放后重用 (use-after-free) 漏洞。

CVE-2022-29581 和 CVE-2022-1116 漏洞允许本地攻击者触发 io_uring 中的内存损坏或 Linux 内核中的 net/sched，从而将权限提升为 root 权限。

在 Linux 内核中发现了三个新的内存损坏漏洞（CVE-2022-29581、CVE-2022-29582、CVE-2022-1116）。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。

该怎么做？

您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此漏洞的影响，因为它不会在其发行版中捆绑操作系统。

2022 年 11 月 22 日更新：GKE Sandbox 中运行的 GKE Autopilot 集群和工作负载不受这些漏洞的影响。

在 Linux 内核中发现了两个安全漏洞：CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或权限提升。这些漏洞会影响所有 GKE 节点操作系统（Container-Optimized OS 和 Ubuntu）。

技术详情

在 CVE-2022-1055 中，攻击者可以利用 tc_new_tfilter() 中的 use-after-free，从而允许容器中的本地攻击者将权限提升到节点上的 root。

在 CVE-2022-27666 中，esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。

该怎么做？

以下版本的 GKE 的 Linux 节点映像版本已更新，内含修复此漏洞的代码。将集群升级到以下即将推出的 GKE 版本之一：

• 1.19.16-gke.11000 及更高版本
• 1.20.15-gke.5200 及更高版本
• 1.21.11-gke.1100 及更高版本
• 1.22.8-gke.200 及更高版本
• 1.23.5-gke.1500 及更高版本

该补丁解决了哪些漏洞？

• CVE-2022-1055
• CVE-2022-27666

在 Linux 内核中发现了两个安全漏洞：CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或权限提升。这些漏洞会影响所有 GKE 节点操作系统（Container-Optimized OS 和 Ubuntu）。

技术详情

在 CVE-2022-1055 中，攻击者可以利用 tc_new_tfilter() 中的 use-after-free，从而允许容器中的本地攻击者将权限提升到节点上的 root。

在 CVE-2022-27666 中，esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。

该怎么做？

将集群升级到修补后的版本。以下 GKE on VMware 版本或更高版本包含针对此漏洞的修补程序：

• 1.9.6（即将推出）
• 1.10.3
• 1.11.0（即将推出）

该补丁解决了哪些漏洞？

• CVE-2022-1055
• CVE-2022-27666

在 Linux 内核中发现了两个安全漏洞：CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或权限提升。这些漏洞会影响所有 GKE 节点操作系统（Container-Optimized OS 和 Ubuntu）。

技术详情

在 CVE-2022-1055 中，攻击者可以利用 tc_new_tfilter() 中的 use-after-free，从而允许容器中的本地攻击者将权限提升到节点上的 root。

在 CVE-2022-27666 中，esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。

该怎么做？

2022 年 5 月 12 日更新：以下当前和先前版本的 GKE on AWS 已更新代码来修复这些漏洞。我们建议您将节点升级到以下 GKE on AWS 版本之一：

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.20.15-gke.5200
• 1.21.11-gke.1100
• 1.22.8-gke.1300

将集群升级到修补后的版本。补丁程序将在后续版本中提供。补丁发布后，我们会更新此公告。

该补丁解决了哪些漏洞？

• CVE-2022-1055
• CVE-2022-27666

在 Linux 内核中发现了两个安全漏洞：CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或权限提升。这些漏洞会影响所有 GKE 节点操作系统（Container-Optimized OS 和 Ubuntu）。

技术详情

在 CVE-2022-1055 中，攻击者可以利用 tc_new_tfilter() 中的 use-after-free，从而允许容器中的本地攻击者将权限提升到节点上的 root。

在 CVE-2022-27666 中，esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。

该怎么做？

2022 年 5 月 12 日更新：以下 GKE on Azure 版本已更新，包含用于修复这些漏洞的代码。我们建议您将节点升级到以下 GKE on Azure 版本之一：

• 1.21.11-gke.1100
• 1.22.8-gke.1300

将集群升级到修补后的版本。补丁程序将在后续版本中提供。补丁发布后，我们会更新此公告。

该补丁解决了哪些漏洞？

• CVE-2022-1055
• CVE-2022-27666

在 Linux 内核中发现了两个安全漏洞：CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或权限提升。这些漏洞会影响所有 GKE 节点操作系统（Container-Optimized OS 和 Ubuntu）。

技术详情

在 CVE-2022-1055 中，攻击者可以利用 tc_new_tfilter() 中的 use-after-free，从而允许容器中的本地攻击者将权限提升到节点上的 root。

在 CVE-2022-27666 中，esp/esp6_output_head 中的缓冲区溢出允许容器中的本地攻击者将权限提升到节点上的 root。

该怎么做？

您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响，因为它不包含 Linux 作为其软件包的一部分。您应确保使用的节点映像已更新为包含 CVE-2022-1055 和 CVE-2022-27666 修复版本。

该补丁解决了哪些漏洞？

• CVE-2022-1055
• CVE-2022-27666

在 OCI 映像卷规范中，containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器，可以获得对主机上任意文件和目录的完整读取权限。

此漏洞可能会绕过容器设置上基于政策的所有强制执行（包括 Kubernetes Pod 安全政策）。此漏洞会影响所有默认使用 containerd 的 GKE 节点操作系统（Container-Optimized OS 和 Ubuntu）。所有 GKE、Autopilot 和 GKE Sandbox 节点都会受到影响。

该怎么做？

以下版本的 GKE 的 Linux 节点映像版本已更新，内含修复此漏洞的代码。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点手动升级到以下 GKE 版本之一：

• 1.19.16-gke.9400
• 1.20.15-gke.3600
• 1.21.10-gke.1500
• 1.22.7-gke.1500
• 1.23.4-gke.1500

借助发布渠道的最新功能，您可以应用补丁程序，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

在 OCI 映像卷规范中，containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器，可以获得对主机上任意文件和目录的完整读取权限。

此漏洞可能会绕过容器设置上基于政策的所有强制执行（包括 Kubernetes Pod 安全政策）。此漏洞会影响所有启用了 Stackdriver 且使用 containerd 的 GKE on VMware。GKE on VMware 版本 1.8、1.9 和 1.10 受到影响

该怎么做？

2022 年 4 月 22 日更新：以下版本的 GKE on VMware 包含用于修复此漏洞的代码。

• 1.9.5 或更高版本
• 1.10.3 或更高版本
• 1.11.0 或更高版本

为了修复此漏洞，我们已对以下版本的 GKE on VMware 进行了代码更新。我们建议您将节点升级到以下 GKE on VMware 版本之一：

• 1.8.8 或更高版本
• 1.9.5 或更高版本
• 1.10.2 或更高版本

可以通过将 IgnoreImageDefinedVolumes 设置为 true 来消除此 CVE。

在 OCI 映像卷规范中，containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器，可以获得对主机上任意文件和目录的完整读取权限。

此漏洞可能会绕过容器设置上基于政策的所有强制执行（包括 Kubernetes Pod 安全政策）。所有 GKE on AWS 版本都会受到影响。

该怎么做？

以下版本的 GKE on AWS 已进行了代码更新，以修复此漏洞。我们建议您将节点升级到以下 GKE on AWS 版本之一。

GKE on AWS（当前世代）

• 1.22 版：1.22.8-gke.200
• 1.21 版：1.21.11-gke.100

GKE on AWS（上一代）

• 1.22 版：1.22.8-gke.300
• 1.21 版：1.21.11-gke.100
• 1.20 版：1.20.15-gke.2200

可以通过将 IgnoreImageDefinedVolumes 设置为 true 来消除此 CVE。

在 OCI 映像卷规范中，containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器，可以获得对主机上任意文件和目录的完整读取权限。

此漏洞可能会绕过容器设置上基于政策的所有强制执行（包括 Kubernetes Pod 安全政策）。所有 GKE on Azure 版本都会受到影响。

该怎么做？

以下版本的 GKE on Azure 已更新，内含修复此漏洞的代码。我们建议您按如下方式升级节点：

• 1.22 版：1.22.8-gke.200
• 1.21 版：1.21.11-gke.100

可以通过将 IgnoreImageDefinedVolumes 设置为 true 来消除此 CVE。

在 OCI 映像卷规范中，containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器，可以获得对主机上任意文件和目录的完整读取权限。

此漏洞可能会绕过容器设置上基于政策的所有强制执行（包括 Kubernetes Pod 安全政策）。此漏洞会影响所有使用 containerd 的 Google Distributed Cloud Virtual for Bare Metal。Google Distributed Cloud Virtual for Bare Metal 版本 1.8、1.9 和 1.10 受到影响

该怎么做？

2022 年 4 月 22 日更新：以下版本的 Google Distributed Cloud Virtual for Bare Metal 包含用于修复此漏洞的代码。

• 1.8.9 或更高版本
• 1.9.6 或更高版本
• 1.10.3 或更高版本
• 1.11.0 或更高版本

为了修复此漏洞，以下版本的 Google Distributed Cloud Virtual for Bare Metal 已更新代码，以修复此漏洞。我们建议您将节点升级到以下 Google Distributed Cloud Virtual for Bare Metal 版本之一：

• 1.8.8 或更高版本
• 1.9.5 或更高版本
• 1.10.2 或更高版本

可以通过将 IgnoreImageDefinedVolumes 设置为 true 来消除此 CVE。

2022 年 11 月 22 日更新：使用 GKE Sandbox 的工作负载不受这些漏洞的影响。

我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847，此漏洞可能会将容器权限升级为 root。此漏洞会影响所有使用 Container-Optimized OS 映像（Container-Optimized OS 93 及更高版本）的 GKE 节点池 v1.22 及更高版本。使用 Ubuntu 操作系统的 GKE 节点池不受影响。

该怎么做？

以下版本的 GKE 的 Linux 节点映像版本已更新，内含修复此漏洞的代码。出于安全考虑，即使您启用了节点自动升级，我们仍建议您将节点池手动升级到以下 GKE 版本之一：

• 1.22.7-gke.1500 及更高版本
• 1.23.4-gke.1600 及更高版本

借助发布渠道的最新功能，您可以应用其他发布渠道的补丁程序版本，而不必退订渠道。这样，您就可以保护节点，直到新版本成为特定发布渠道的默认版本。

该补丁解决了哪些漏洞？

CVE-2022-0847 与 Linux 内核 5.8 版中引入的 PIPE_BUF_FLAG_CAN_MERGE 标志相关。在此漏洞中，新管道缓冲区结构的“标志”构件在 Linux 内核中缺少必要的初始化。无特权的本地攻击者可以利用此缺陷，在由只读文件支持的页面缓存中写入页面，并提升其权限。

可解决此问题的新版 Container-Optimized OS 已集成到更新后的 GKE 节点池版本中。

我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847，此漏洞可能会将权限升级为 root。此漏洞会影响适用于 Container-Optimized OS 映像的 GKE on VMware v1.10。目前，使用 Ubuntu 的 GKE on VMware 依赖于内核 5.4 版，因此不受此漏洞的影响。

该怎么做？

以下 GKE on VMware 版本的 Linux 节点映像版本已更新，内含修复此漏洞的代码。建议您将管理员集群和用户集群升级到以下 GKE on VMware 版本：

• 1.10.3

该补丁解决了哪些漏洞？

CVE-2022-0847 与 Linux 内核 5.8 版中引入的 PIPE_BUF_FLAG_CAN_MERGE 标志相关。在此漏洞中，新管道缓冲区结构的“标志”构件在 Linux 内核中缺少必要的初始化。无特权的本地攻击者可以利用此缺陷，在由只读文件支持的页面缓存中写入页面，并提升其权限。

可解决此问题的新版 Container-Optimized OS 已集成到更新后的 GKE on VMware 版本中。

我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847，此漏洞可能会将权限升级为 root。

此漏洞会影响 GKE on AWS v1.21 的托管式集群以及在 GKE on AWS（上一代）v1.19、v1.20 和 v1.21（使用 Ubuntu）上运行的集群。

该怎么做？

以下版本的 GKE on AWS 的 Linux 节点映像版本已更新，内含修复此漏洞的代码。

对于托管式 GKE on AWS 集群，我们建议您将用户集群和节点池升级到以下版本之一：

• 1.21.11-gke.100

对于 k-lite GKE on AWS，我们建议您将 AWSManagementService、AWSCluster 和 AWSNodePool 对象升级到以下版本：

• 1.21.11-gke.100
• 1.20.15-gke.2200

该补丁解决了哪些漏洞？

CVE-2022-0847 与 Linux 内核 5.8 版中引入的 PIPE_BUF_FLAG_CAN_MERGE 标志相关。在此漏洞中，新管道缓冲区结构的“标志”构件在 Linux 内核中缺少必要的初始化。无特权的本地攻击者可以利用此缺陷，在由只读文件支持的页面缓存中写入页面，并提升其权限。

我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847，此漏洞可能会将权限升级为 root。此漏洞会影响使用 Ubuntu 的 GKE on Azure v1.21 的托管式集群。

该怎么做？

以下 GKE on Azure 版本的 Linux 节点映像版本已更新，内含修复此漏洞的代码。我们建议您将用户集群和节点池升级到以下版本：

• 1.21.11-gke.100

该补丁解决了哪些漏洞？

CVE-2022-0847 与 Linux 内核 5.8 版中引入的 PIPE_BUF_FLAG_CAN_MERGE 标志相关。在此漏洞中，新管道缓冲区结构的“标志”构件在 Linux 内核中缺少必要的初始化。无特权的本地攻击者可以利用此缺陷，在由只读文件支持的页面缓存中写入页面，并提升其权限。

我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847，此漏洞可能会将权限升级为 root。

该怎么做？

您无需执行任何操作。Google Distributed Cloud Virtual for Bare Metal 不受此 CVE 的影响，因为它不包含 Linux 作为其软件包的一部分。您应确保所使用的节点映像已更新为包含 CVE-2022-0847 修复的版本。

2022 年 8 月 11 日更新：增加了有关并发多线程 (SMT) 配置的更多信息。在下面列出的版本中，SMT 本应停用，但却被启用。

如果您为沙盒化节点池手动启用 SMT，则尽管存在此问题，SMT 仍将保持手动启用状态。

GKE Sandbox 映像上的并发多线程 (SMT)（也称为超线程）配置错误。配置错误可能会使节点面临微通道数据抽样 (MDS) 等边信道攻击（如需更多背景信息，请参阅 GKE Sandbox 文档）。我们不建议您使用以下受影响的版本：

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

如果您手动为节点池启用 SMT，则此问题不会影响您的沙盒化节点。

该怎么做？

将节点升级到以下版本之一：

• 1.22.6-gke.1500 及更高版本
• 1.23.3-gke.1100 及更高版本

该补丁程序解决了什么漏洞？

GKE Sandbox 节点默认停用 SMT，从而缓解边信道攻击。

2022 年 3 月 15 日更新：添加了 GKE on AWS 和 GKE on Azure 的安全加固指南。添加了关于使用网络钩子的持久性的部分。

用于访问 GKE Autopilot 集群上的节点虚拟机的一些意外路径可能已被用来提升集群中的权限。这些问题已得到解决，无需采取进一步措施。这些修复解决了通过漏洞奖励计划报告的问题。

GKE Standard 和 GKE 集群用户可以选择性地应用类似的安全强化政策，如下所述。

技术详情

使用第三方政策豁免的主机访问

为了允许 Google Cloud 提供节点的完全管理权限和 Pod 级 SLA，GKE Autopilot 会限制一些高权限 Kubernetes 原语，以限制工作负载对节点虚拟机进行低级访问。在上下文中对此进行设置：GKE Standard 提供对底层计算的完全访问权限，Autopilot 提供受限的访问权限，Cloud Run 不提供访问权限。

Autopilot 放宽了针对预定义第三方工具列表的限制，允许客户无需修改即可在 Autopilot 上运行这些工具。通过使用特权来创建带有主机路径装载的 Pod，研究人员将能够在 Pod 中运行特权容器，就如同使用某个被列入许可名单的第三方工具，从而获得对主机的访问权限。

在 GKE Standard 中，您能够以这种方式安排 Pod，但在 GKE Autopilot 中不能这样安排，因为它绕过了用于启用上述 SLA 的主机访问限制。

此问题可通过加强对第三方许可名单 Pod 规范的限制来解决。

从节点根提升权限

除了主机访问权限之外，系统还将 stackdriver-metadata-agent-cluster-level 和 metrics-server Pod 标识为具有高权限。在获得对节点的根级访问权限后，这些服务可用于进一步控制集群。

我们已针对 GKE Standard 和 Autopilot 弃用并移除了 stackdriver-metadata-agent。此组件仍在 GKE on VMware 和 Google Distributed Cloud Virtual for Bare Metal 上使用。

作为防止将来出现此类攻击的系统安全强化措施，我们将在未来版本中应用 Autopilot 限制条件来防止对 kube-system 命名空间中的各种对象的服务账号进行更新。我们开发了 Gatekeeper 政策，让您可以对 GKE Standard 集群和 GKE 集群应用类似的保护，以防止特权工作负载执行自行修改。此政策会自动应用于 Autopilot 集群。有关说明，请参阅以下安全强化指南：

• GKE Standard
• GKE on VMware
• Google Distributed Cloud Virtual for Bare Metal
• 更新 2022 年 3 月 15 日： GKE on AWS
• 2022 年 3 月 15 日更新：GKE on Azure

2022 年 3 月 15 日新增：使用变更网络钩子的持久性

报告中使用了变更网络钩子，以在入侵后在集群中建立特权据点。这是集群管理员创建的 Kubernetes API 的标准部分，在 Autopilot 添加了对客户定义的网络钩子的支持后，管理员可以看到这些部分。

默认命名空间中的高权限服务账号

Autopilot 政策实施程序之前将两个服务账号列入默认命名空间的许可名单：csi-attacher 和 otelsvc，从而为它们提供了一些特殊权限。具有高权限（包括创建 ClusterRoleBinding 对象的权限）以及有权在默认命名空间中创建 Pod 的攻击者可以使用这些服务账号名称来访问这些额外的权限。这些服务已移至 kube-system 命名空间下，以保护现有 Autopilot 政策。GKE Standard 集群和 GKE 集群不受影响。

该怎么做？

所有 GKE Autopilot 集群都更新了其政策，以移除意外的主机访问权限，因此您无需采取进一步措施。

作为进一步的保护措施，我们将在未来几周内对 Autopilot 应用进一步的政策安全强化措施。您无需采取任何行动。

GKE Standard 集群和 GKE 集群不受影响，因为用户已经具有主机访问权限。作为系统安全强化措施，GKE Standard 集群和 GKE 集群用户可以使用 Gatekeeper 政策来应用类似的保护，以防止特权工作负载执行自行修改。有关说明，请参阅以下安全强化指南：

• GKE Standard
• GKE on VMware
• Google Distributed Cloud Virtual for Bare Metal
• 更新 2022 年 3 月 15 日： GKE on AWS
• 2022 年 3 月 15 日更新：GKE on Azure

该怎么做？

• 如果您使用的是 Anthos Service Mesh 1.12，请升级到 v1.12.4-asm.0。
• 如果您使用的是 Anthos Service Mesh 1.11，请升级到 v1.11.7-asm.1。
• 如果您使用的是 Anthos Service Mesh 1.10，请升级到 v1.10.6-asm.1。

• 如果您使用的是 Istio-on-GKE 1.6，请升级到 v1.6.14-gke.8。
• 如果您使用的是 Istio-on-GKE 1.4.11，请升级到 v1.4.11-gke.4。
• 如果您使用的是 Istio-on-GKE 1.4.10，请升级到 v1.4.10-gke.23。
• 如果您使用的是 GKE 1.22 或更高版本，请使用 Istio GKE 1.4.10。否则，请使用 Istio-GKE 1.4.11。

该补丁解决了哪些漏洞？

• CVE-2021-43824（CVSS 评分 6.5，中）：使用 JWT 过滤条件 safe_regex 匹配时可能出现 null 指针解引用。
  注意：尽管 ASM/Istio-on-GKE 不支持 Envoy 过滤条件，但如果您使用 JWT 过滤条件正则表达式，则可能会受影响.。
• CVE-2021-43825（CVSS 评分 6.1，中等）：当响应过滤条件增加响应数据并且增加的数据超过下游缓冲区限制时，产生 use-after-free 漏洞。
  注意：尽管 ASM/Istio-on-GKE 不支持 Envoy 过滤条件，但如果您使用解压缩过滤条件，则可能会受影响。
• CVE-2021-43826（CVSS 评分 6.1、中等）：通过 HTTP 建立 TCP 隧道时，如果上游连接建立期间下游断开连接，会产生 use-after-free 漏洞。
  注意：尽管 ASM/Istio-on-GKE 不支持 Envoy 过滤条件，但如果您使用隧道过滤条件，则可能会受影响。
• CVE-2022-21654（CVSS 评分 7.3，高）：错误的配置处理会导致在验证设置更改后无需重新验证即可重用 mTLS 会话。
  注意：所有使用 mTLS 的 ASM/Istio-on-GKE 服务均受此 CVE 影响。
• CVE-2022-21655（CVSS 评分 7.5，高）：对具有直接响应条目的路由的内部重定向处理错误。
  注意：尽管 ASM/Istio-on-GKE 不支持 Envoy 过滤条件，但如果您使用直接响应过滤条件，则可能会受影响。
• CVE-2022-23606（CVSS 评分 4.4，中）：通过 Cluster Discovery Service 删除集群时堆栈耗尽。
  注意：ASM 1.11+ 会受到此 CVE 的影响。ASM 1.10 和所有 Istio-on-GKE 均不受此 CVE 的影响。
• CVE-2022-21657（CVSS 评分 3.1，低）：由于 X.509 扩展密钥使用和信任目的绕过，1.20.1 及以下版本的 Envoy 包含一个可远程利用的漏洞。
• CVE-2022-21656（CVSS 评分 3.1，低）：由于 X.509 subjectAltName 匹配（和 nameConstraints）绕过，1.20.1 及以下版本的 Envoy 包含一个可远程利用的漏洞。

Istio 最近发布了一个安全漏洞修复。Anthos on VMware 会受到影响，因为 Istio 用于入站流量。我们正在修复的 Istio CVE 如下。在特定版本可用后，我们将更新此公告：

2022-04-28 添加：我该怎么做？

以下版本的 GKE on VMware 修复了这些漏洞：

• 1.9.5
• 1.10.3
• 1.11.0

该补丁解决了哪些漏洞？

• CVE-2021-43824（CVSS 评分 6.5，中）：使用 JWT 过滤条件 safe_regex 匹配时可能出现 null 指针解引用。
  注意：尽管 ASM/Istio-on-GKE 不支持 Envoy 过滤条件，但如果您使用 JWT 过滤条件正则表达式，则可能会受影响。
• CVE-2021-43825（CVSS 评分 6.1，中等）：当响应过滤条件增加响应数据并且增加的数据超过下游缓冲区限制时，产生 use-after-free 漏洞。
  注意：尽管 ASM/Istio-on-GKE 不支持 Envoy 过滤条件，但如果您使用解压缩过滤条件，则可能会受影响。
• CVE-2021-43826（CVSS 评分 6.1、中等）：通过 HTTP 建立 TCP 隧道时，如果上游连接建立期间下游断开连接，会产生 use-after-free 漏洞。
  注意：尽管 ASM/Istio-on-GKE 不支持 Envoy 过滤条件，但如果您使用隧道过滤条件，则可能会受影响。
• CVE-2022-21654（CVSS 评分 7.3，高）：错误的配置处理会导致在验证设置更改后无需重新验证即可重用 mTLS 会话。
  注意：所有使用 mTLS 的 ASM/Istio-on-GKE 服务均受此 CVE 影响。
• CVE-2022-21655（CVSS 评分 7.5，高）：对具有直接响应条目的路由的内部重定向处理错误。
  注意：尽管 ASM/Istio-on-GKE 不支持 Envoy 过滤条件，但如果您使用直接响应过滤条件，则可能会受影响。
• CVE-2022-23606（CVSS 评分 4.4，中）：通过 Cluster Discovery Service 删除集群时堆栈耗尽。
  注意：ASM 1.11+ 会受到此 CVE 的影响。ASM 1.10 和所有 Istio-on-GKE 均不受此 CVE 的影响。
• CVE-2022-21657（CVSS 评分 3.1，低）：由于 X.509 扩展密钥使用和信任目的绕过，1.20.1 及以下版本的 Envoy 包含一个可远程利用的漏洞。
• CVE-2022-21656（CVSS 评分 3.1，低）：由于 X.509 subjectAltName 匹配（和 nameConstraints）绕过，1.20.1 及以下版本的 Envoy 包含一个可远程利用的漏洞。

• CVE-2022-23635（CVSS 评分 7.5，高）：Istiod 在收到包含特别设计的 `authorization` 标头的请求后崩溃。
  注意：所有 ASM/Istio-on-GKE 都会受到此 CVE 的影响。

该补丁解决了哪些漏洞？

在 Linux 内核的 cgroup_release_agent_write 函数中发现了安全漏洞 CVE-2022-0492。该攻击使用无特权的用户命名空间；在某些情况下，可能会利用此漏洞来造成容器入侵。

该怎么做？

2022 年 5 月 16 日更新：除了 2022 年 5 月 12 日更新中提及的 GKE 版本之外，GKE 1.19.16-gke.7800 版或更高版本还包含修复此漏洞的代码。

2022 年 5 月 12 日更新：以下 GKE 版本包含修复此漏洞的代码：

• 1.20.15-gke.5600 或更高版本
• 1.21.11-gke.1500 或更高版本
• 1.22.8-gke.1800 或更高版本
• 1.23.5-gke.1800 或更高版本

此漏洞是在 kernel/cgroup/cgroup-v1.c 函数的 Linux 内核的 cgroup_release_agent_write 中找到的，可能被利用来造成容器入侵。由于 Ubuntu 和 COS 上默认 AppArmor 配置文件的保护，GKE 不受影响。但是，如果某些客户修改 Pod 或容器 SecurityContext 字段，例如通过停用/更改 AppArmor 配置文件（不推荐），来放宽了对 pod 的安全限制，则这些客户仍然可能受到攻击。除了默认的 AppArmor 配置文件外，以下功能也会防范漏洞：

• 由于默认的 seccomp 配置文件，GKE Autopilot 不受影响。
• 更新日期 2022 年 2 月 15 日：gVisor (GKE Sandbox) 不受影响，因为 gVisor 不允许访问主机上易受攻击的系统调用。

补丁程序将在后续版本中提供。补丁发布后，我们会更新此公告。

该补丁程序解决了哪一漏洞？

CVE-2022-0492

在 Linux 内核的 cgroup_release_agent_write 函数中发现了安全漏洞 CVE-2022-0492。该攻击使用无特权的用户命名空间；在某些情况下，可能会利用此漏洞来造成容器入侵。

该怎么做？

2022 年 5 月 12 日更新：以下版本的 GKE on VMware 包含用于修复此漏洞的代码。

• 1.8.8 或更高版本
• 1.9.5 或更高版本
• 1.10.2 或更高版本
• 1.11.0 或更高版本

• 1.9.6 或更高版本
• 1.10.3 或更高版本
• 1.11.0 或更高版本

此漏洞是在 kernel/cgroup/cgroup-v1.c 函数中 Linux kernel 内核的 cgroup_release_agent_write 中找到的，可能被利用来造成容器入侵。由于 Ubuntu 和 COS 上默认 AppArmor 配置文件的保护，GKE on VMware 不受影响。但是，如果某些客户修改 Pod 或容器 securityContext 字段，例如通过停用/更改 AppArmor 配置文件（不推荐），来放宽了对 pod 的安全限制，则这些客户仍然可能受到攻击。

补丁程序将在后续版本中提供。补丁发布后，我们会更新此公告。

该补丁程序解决了什么漏洞？

CVE-2022-0492

在 Linux 内核的 cgroup_release_agent_write 函数中发现了安全漏洞 CVE-2022-0492。该攻击使用无特权的用户命名空间；在某些情况下，可能会利用此漏洞来造成容器入侵。

该怎么做？

2022 年 5 月 12 日更新：以下当前和先前版本的 GKE on AWS 包含修复此漏洞的代码：

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.22.8-gke.1300
• 1.21.11-gke.1100
• 1.20.15-gke.5200

更新 2022 年 2 月 23 日：添加了针对 GKE on AWS 的说明。

GKE on AWS 先前和当前世代均不受影响，原因是受到 Ubuntu 上的默认 AppArmor 配置文件的保护。但是，如果某些客户修改 Pod 或容器 securityContext 字段，例如通过停用/更改 AppArmor 配置文件（不推荐），来放宽了对 pod 的安全限制，则这些客户仍然可能受到攻击。

补丁程序将在后续版本中提供。补丁发布后，我们会更新此公告。

该补丁程序解决了什么漏洞？

CVE-2022-0492

在 Linux 内核的 cgroup_release_agent_write 函数中发现了安全漏洞 CVE-2022-0492。该攻击使用无特权的用户命名空间；在某些情况下，可能会利用此漏洞来造成容器入侵。

该怎么做？

2022 年 5 月 12 日更新：以下版本的 GKE on Azure 包含用于修复此漏洞的代码：

• 1.21.11-gke.1100
• 1.22.8-gke.1300

由于 Ubuntu 上的默认 AppArmor 配置文件的保护，GKE on Azure 不受影响。但是，如果某些客户修改 Pod 或容器 securityContext 字段，例如通过停用/更改 AppArmor 配置文件（不推荐），来放宽了对 pod 的安全限制，则这些客户仍然可能受到攻击。

补丁程序将在后续版本中提供。补丁发布后，我们会更新此公告。

该补丁程序解决了什么漏洞？

CVE-2022-0492

• 1.20.15-gke.300
• 1.21.9-gke.300
• 1.22.6-gke.1000

在与低于 3.73 或 3.68.1 的 NSS（网络安全服务）版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中，找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响，具体取决于 NSS 的使用/配置方式。GKE COS 和 Ubuntu 映像都安装了易受攻击的版本，需要进行修补。

CVE-2021-43527 可能会对使用 NSS 处理 CMS、S/MIME、PKCS#7 或 PKCS#12 中编码的签名的应用产生广泛影响。而且，使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响。影响取决于 NSS 的使用/配置方式。

GKE 不会对任何可通过互联网访问的 API 使用 libnss3。这种影响仅限于在容器之外运行的主机代码，由于 Chrome 操作系统的设计极少，因此该代码很小。使用 golang distroless 基础映像在容器内运行的 GKE 代码不受影响。

该怎么做？

以下版本的 GKE 的 Linux 节点映像版本已更新，内含修复这些漏洞的代码。将控制平面和节点升级到以下 GKE 版本之一：

• 1.18 版待定
• 1.19.16-gke.6100
• 1.20.15-gke.200
• 1.21.9-gke.200
• 1.22.6-gke.600
• 1.23.3-gke.500

该补丁程序解决了什么漏洞？

CVE-2021-43527

在与低于 3.73 或 3.68.1 的 NSS（网络安全服务）版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中，找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响，具体取决于它们如何配置 NSS。GKE on VMware COS 和 Ubuntu 映像都安装了存在漏洞的版本，需要进行修补。

CVE-2021-43527 可能会对使用 NSS 处理 CMS、S/MIME、PKCS \#7 或 PKCS \#12 中编码的签名的应用产生广泛影响。而且，使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响。影响取决于他们配置/使用 NSS 的方式。Anthos on VMware 不会将 libnss3 用于任何可公开访问的 API，因此影响有限，并且 GKE on VMware 的此 CVE 的严重级别为“中”。

该怎么做？

以下版本的 Anthos 的 Linux 节点映像版本已更新，内含修复这些漏洞的代码。将控制平面和节点升级到以下 Anthos 版本之一：

• 1.8.7
• 1.9.4
• 1.10.2

您使用的 GKE on VMware 版本低于 1.18？您使用的 Anthos 版本失去服务等级协议 (SLA) 覆盖，应考虑升级到一个受支持的版本。

该补丁程序解决了哪一漏洞？

CVE-2021-43527

在与低于 3.73 或 3.68.1 的 NSS（网络安全服务）版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中，找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响，具体取决于 NSS 的使用/配置方式。Anthos Clusters on Azure Ubuntu 映像安装了安装了易受攻击的版本，需要进行修补。

CVE-2021-43527 可能会对使用 NSS 处理 CMS、S/MIME、PKCS#7 或 PKCS#12 中编码的签名的应用产生广泛影响。而且，使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响。影响取决于他们配置/使用 NSS 的方式。Anthos clusters on Azure 不为任何可公开访问的 API 使用 libnss3，因此影响有限，并且对于 Anthos on Azure，此 CVE 的严重级别分级为“中”。

该怎么做？

以下版本的 GKE on Azure 的 Linux 节点映像版本已更新，包含修复这些漏洞的代码。将集群升级到以下 Anthos on Azure 版本之一：

• v1.21.6-gke.1500

该补丁程序解决了哪一漏洞？

CVE-2021-43527

在 pkexec 中发现了一个安全漏洞 CVE-2021-4034，该漏洞是 Linux 政策套件软件包 (pokit) 的一部分，它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用，以允许非 root 用户执行受政策约束的操作，例如重新启动系统、安装软件包、重启服务等。

该怎么做？

GKE 不会受到影响，因为 GKE 中使用的 COS 或 Ubuntu 映像上未安装存在漏洞的 policykit-1 模块。您无需采取任何行动。

在 pkexec 中发现了一个安全漏洞 CVE-2021-4034，该漏洞是 Linux 政策套件软件包 (pokit) 的一部分，它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用，以允许非 root 用户执行受政策约束的操作，例如重新启动系统、安装软件包、重启服务等。

GKE Enterprise 默认配置已为用户提供完整的“sudo”权限，因此这个漏洞不会改变 GKE Enterprise 现有的安全状况

技术详情

要利用此错误发起攻击，攻击者需要节点文件系统的非 root shell，并且要求目标系统上安装了存在漏洞的 pkexec 版本。虽然 GKE on VMware 确实在其发布版本映像中包含了 policykit-1 版本，但 GKE Enterprise 默认配置允许拥有 Shell 访问权限的任何人使用无密码 sudo，因此这个漏洞不会为用户提供比他们已有特权更高的任何特权。

该怎么做？

无需进行任何操作。GKE on VMware 不受影响。

在 pkexec 中发现了一个安全漏洞 CVE-2021-4034，该漏洞是 Linux 政策套件软件包 (pokit) 的一部分，它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用，以允许非 root 用户执行受政策约束的操作，例如重新启动系统、安装软件包、重启服务等。

GKE Enterprise 默认配置已为用户提供完整的“sudo”权限，因此这个漏洞不会改变 GKE Enterprise 现有的安全状况

技术详情

要利用此错误发起攻击，攻击者需要节点文件系统的非 root shell，并且要求目标系统上安装了存在漏洞的 pkexec 版本。虽然 GKE on Azure 确实在其发布版本映像中包含了 policykit-1 版本，但 GKE Enterprise 默认配置允许拥有 Shell 访问权限的任何人使用无密码 sudo，因此这个漏洞不会为用户提供比他们已有特权更高的任何特权。

该怎么做？

无需进行任何操作。GKE on Azure 不受影响。

已在 Linux 内核中发现三个安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185，其中每个都可能导致容器入侵和/或在主机上发生权限提升。以下漏洞会影响 GKE、GKE on VMware、GKE on AWS（当前版本和上一代产品）以及 GKE on Azure 上的所有节点操作系统（COS 和 Ubuntu）。

使用 GKE Sandbox 的 Pod 不受这些漏洞的影响。

请参阅 COS 版本说明了解详情。

技术详情

在 CVE-2021-4154 中，攻击者可以利用 fsconfig 系统调用参数在 Linux 内核中触发“释放后使用”错误，并因此获得 root 权限。这是一种局部权限提升攻击，会导致容器入侵。

CVE-2021-22600 是 packet_set_ring 中的双重释放漏洞，可能导致容器逃逸到主机节点。

使用 CVE-2022-0185 时，legacy_parse_param() 中的堆溢出错误可能会导致写入超出范围，从而造成容器入侵。

在 GKE Autopilot 集群上，系统默认会使用 seccomp 过滤条件阻止此漏洞依赖于“停止分享”系统调用的漏洞利用路径。

在 GKE 标准集群上手动启用默认容器运行时 seccomp 配置文件的用户也会受到保护。

该怎么做？

2022-03-07 更新：以下 GKE 版本的 Linux 节点映像版本已更新，内含修复 Ubuntu 和 COS 映像的所有相关漏洞的代码。将控制平面和节点升级到以下 GKE 版本之一。

• 1.18.20-gke.6101
• 1.19.16-gke.8300
• 1.20.15-gke.2500
• 1.21.10-gke.400
• 1.22.7-gke.900
• 1.23.3-gke.1100

2022 年 2 月 25 日更新：如果您使用 Ubuntu 节点映像，1.22.6-gke.1000 将不会解决 CVE-2021-22600。在 Ubuntu 补丁程序版本可用后，我们将更新此公告。

2022 年 2 月 23 日更新：以下 GKE 版本的 Linux 节点映像版本已更新，内含修复这些漏洞的代码。将集群升级到以下 GKE 版本之一。

• 1.18.20-gke.6101
• 1.22.6-gke.1000
• 1.23.3-gke.1100

2022 年 2 月 4 日更新：GKE 补丁版本的发布开始日期为 2 月 2 日。

以下版本的 GKE 的 Linux 节点映像版本已更新，内含修复这些漏洞的代码。将集群升级到以下 GKE 版本之一。

• 1.19.16-gke.6100
• 1.20.15-gke.300
• 1.21.9-gke.300

1.22 和 1.23 版本也在开发中。在特定版本可用后，我们将更新此公告。

该补丁程序解决了哪一漏洞？

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

已在 Linux 内核中发现三个安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185，其中每个都可能导致容器入侵和/或在主机上发生权限提升。以下漏洞会影响 GKE、GKE on VMware、GKE on AWS（当前版本和上一代产品）以及 GKE on Azure 上的所有节点操作系统（COS 和 Ubuntu）。

请参阅 COS 版本说明了解详情。

技术详情

在 CVE-2021-4154 中，攻击者可以利用 fsconfig 系统调用参数在 Linux 内核中触发“释放后使用”错误，并因此获得 root 权限。这是一种局部权限提升攻击，会导致容器入侵。

CVE-2021-22600 是 packet_set_ring 中的双重释放漏洞，可能导致容器逃逸到主机节点。

使用 CVE-2022-0185 时，legacy_parse_param() 中的堆溢出错误可能会导致写入超出范围，从而造成容器入侵。

在 GKE 标准集群上手动启用默认容器运行时 seccomp 配置文件的用户也会受到保护。

该怎么做？

2022 年 2 月 23 日更新：1.10.2 版（修复 CVE-2021-22600、CVE-2021-4154 和 CVE-2022-0185）现已安排在 3 月 1 日实施。

2022 年 2 月 23 日更新：添加了解决 CVE-2021-2260 的修补版本。

1.10.1 版不解决 CVE-2021-22600，但可解决其他漏洞。1.9.4 和 1.10.2 版均未发布，将解决 CVE-2021-22600。以下 GKE on VMware 版本的 Linux 节点映像版本已更新，内含修复这些漏洞的代码。将您的集群升级到以下 GKE on VMware 版本之一：

• 1.10.1（修复 CVE-2021-4154 和 CVE-2022-0185。2 月 10 日发布）
• 1.8.7（修复 CVE-2021-22600、CVE-2021-4154 和 CVE-2022-0185。2 月 17 日发布）
• 1.9.4（修复 CVE-2021-22600、CVE-2021-4154 和 CVE-2022-0185。2 月 23 日发布）
• 1.10.2（修复 CVE-2021-22600、CVE-2021-4154 和 CVE-2022-0185。计划于 2 月 24 日发布）

2022 年 2 月 4 日更新：添加了有关未解决 CVE-2021-22600 的 Ubuntu 映像的信息。

以下版本的 GKE on VMware 的 Linux 节点映像版本已更新，包含修复这些漏洞的代码。将集群升级到以下 GKE on VMware 版本之一：

• 1.10.1（仅限 COS 更新。Ubuntu 补丁程序计划于 2 月 23 日提供 1.10.2 版本）
• 1.9.4（计划于 2 月 15 日提供）
• 1.8.7（计划于 2 月 15 日提供）

该补丁程序解决了哪一漏洞？

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

已在 Linux 内核中发现三个安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185，其中每个都可能导致容器入侵和/或在主机上发生权限提升。以下漏洞会影响 GKE、GKE on VMware、GKE on AWS（当前版本和上一代产品）以及 GKE on Azure 上的所有节点操作系统（COS 和 Ubuntu）。

请参阅 COS 版本说明了解详情。

技术详情

在 CVE-2021-4154 中，攻击者可以利用 fsconfig 系统调用参数在 Linux 内核中触发“释放后使用”错误，并因此获得 root 权限。这是一种局部权限提升攻击，会导致容器入侵。

CVE-2021-22600 是 packet_set_ring 中的双重释放漏洞，可能导致容器逃逸到主机节点。

使用 CVE-2022-0185 时，legacy_parse_param() 中的堆溢出错误可能会导致写入超出范围，从而造成容器入侵。

在 GKE 标准集群上手动启用默认容器运行时 seccomp 配置文件的用户也会受到保护。

该怎么做？

GKE on AWS

以下版本的 GKE on AWS 的 Linux 节点映像版本已更新，包含修复这些漏洞的代码。将集群升级到以下 GKE on AWS 版本：

• 1.21.6-gke.1500 及更高版本（于 2 月提供）

GKE on AWS（上一代）

以下版本的 GKE on AWS（上一代）的 Linux 节点映像版本已更新，包含修复这些漏洞的代码。将集群升级到以下 GKE on AWS（上一代）版本之一：

• 1.19.16-gke.5300
• 1.20.14-gke.2000
• 1.21.8-gke.2000

该补丁程序解决了什么漏洞？

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

已在 Linux 内核中发现三个安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185，其中每个都可能导致容器入侵和/或在主机上发生权限提升。以下漏洞会影响 GKE、GKE on VMware、GKE on AWS（当前版本和上一代产品）以及 GKE on Azure 上的所有节点操作系统（COS 和 Ubuntu）。

请参阅 COS 版本说明了解详情。

技术详情

在 CVE-2021-4154 中，攻击者可以利用 fsconfig 系统调用参数在 Linux 内核中触发“释放后使用”错误，并因此获得 root 权限。这是一种局部权限提升攻击，会导致容器入侵。

CVE-2021-22600 是 packet_set_ring 中的双重释放漏洞，可能导致容器逃逸到主机节点。

使用 CVE-2022-0185 时，legacy_parse_param() 中的堆溢出错误可能会导致写入超出范围，从而造成容器入侵。

在 GKE 标准集群上手动启用默认容器运行时 seccomp 配置文件的用户也会受到保护。

该怎么做？

以下版本的 GKE on Azure 的 Linux 节点映像版本已更新，包含修复这些漏洞的代码。将集群升级到以下 GKE on Azure 版本：

• 1.21.6-gke.1500 及更高版本（于 2 月提供）

该补丁程序解决了哪一漏洞？

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。

该怎么做？

此安全问题不会影响 GKE 集群基础设施或任何 GKE Enterprise 环境集群基础设施。如果您在工作负载部署中使用 ingress-nginx，则应注意此安全问题。如需了解详情，请参阅 ingress-nginx 问题 7837。

在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。

该怎么做？

此安全问题不会影响 GKE 集群基础设施或任何 GKE Enterprise 环境集群基础设施。如果您在工作负载部署中使用 ingress-nginx，则应注意此安全问题。如需了解详情，请参阅 ingress-nginx 问题 7837。

在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。

该怎么做？

此安全问题不会影响 GKE 集群基础设施或任何 GKE Enterprise 环境集群基础设施。如果您在工作负载部署中使用 ingress-nginx，则应注意此安全问题。如需了解详情，请参阅 ingress-nginx 问题 7837。

在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。

该怎么做？

此安全问题不会影响 GKE 集群基础设施或任何 GKE Enterprise 环境集群基础设施。如果您在工作负载部署中使用 ingress-nginx，则应注意此安全问题。如需了解详情，请参阅 ingress-nginx 问题 7837。

在 GKE on VMware 版本 1.8 和 1.8.1 的 GKE Enterprise Identity Service (AIS) LDAP 模块中发现了一个漏洞，在该漏洞中，用于生成密钥的种子密钥是可预测的。利用此漏洞，经过身份验证的用户可以无限期地添加任意声明和提升权限。

技术详情

最近给 AIS 代码添加了内容，以使用 golang 的 math/rand 模块创建对称密钥，但此类模块不适用于安全敏感代码。该模块的使用方式会生成可预测的密钥。在身份验证期间，系统会生成安全令牌服务 (STS) 密钥，该密钥随后使用易于派生的对称密钥进行加密。

该怎么做？

此漏洞仅影响在 GKE on VMware 1.8 和 1.8.1 版中使用 AIS 的客户。对于 GKE on VMware 1.8 的用户，请将集群升级到以下版本：

• 1.8.2

在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561，某些网络钩子可以将 kube-apiserver 请求重定向到该 API 服务器的专用网络。

技术详情

利用此漏洞，控制 MutatingWebhookConfiguration 或 ValidatingWebhookConfiguration 请求响应的操作者能够将 kube-apiserver 请求重定向到 API 服务器的专用网络。如果该用户在日志级别设置为 10 时可以查看 kube-apiserver 日志，则可以查看日志中的重定向响应和标头。

您可以通过更改 API 服务器的特定参数来缓解此问题。

该怎么做？

目前不需要采取任何措施。

目前可用的 GKE 和 GKE Enterprise 版本已实施以下缓解措施来抵御此类攻击：

• 将 kube-apiserver 的 --profiling 标志设置为 false。
• kube-apiserver 日志级别设置为低于 10。

该补丁程序解决了哪一漏洞？

CVE-2020-8561

在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561，某些网络钩子可以将 kube-apiserver 请求重定向到该 API 服务器的专用网络。

技术详情

利用此漏洞，控制 MutatingWebhookConfiguration 或 ValidatingWebhookConfiguration 请求响应的操作者能够将 kube-apiserver 请求重定向到 API 服务器的专用网络。如果该用户在日志级别设置为 10 时可以查看 kube-apiserver 日志，则可以查看日志中的重定向响应和标头。

您可以通过更改 API 服务器的特定参数来缓解此问题。

该怎么做？

目前不需要采取任何措施。

目前可用的 GKE 和 GKE Enterprise 版本已实施以下缓解措施来抵御此类攻击：

• 将 kube-apiserver 的 --profiling 标志设置为 false。
• kube-apiserver 日志级别设置为低于 10。

该补丁程序解决了哪一漏洞？

CVE-2020-8561

在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561，某些网络钩子可以将 kube-apiserver 请求重定向到该 API 服务器的专用网络。

技术详情

利用此漏洞，控制 MutatingWebhookConfiguration 或 ValidatingWebhookConfiguration 请求响应的操作者能够将 kube-apiserver 请求重定向到 API 服务器的专用网络。如果该用户在日志级别设置为 10 时可以查看 kube-apiserver 日志，则可以查看日志中的重定向响应和标头。

您可以通过更改 API 服务器的特定参数来缓解此问题。

该怎么做？

目前不需要采取任何措施。

目前可用的 GKE 和 GKE Enterprise 版本已实施以下缓解措施来抵御此类攻击：

• 将 kube-apiserver 的 --profiling 标志设置为 false。
• kube-apiserver 日志级别设置为低于 10。

该补丁程序解决了哪一漏洞？

CVE-2020-8561

在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561，某些网络钩子可以将 kube-apiserver 请求重定向到该 API 服务器的专用网络。

技术详情

利用此漏洞，控制 MutatingWebhookConfiguration 或 ValidatingWebhookConfiguration 请求响应的操作者能够将 kube-apiserver 请求重定向到 API 服务器的专用网络。如果该用户在日志级别设置为 10 时可以查看 kube-apiserver 日志，则可以查看日志中的重定向响应和标头。

您可以通过更改 API 服务器的特定参数来缓解此问题。

该怎么做？

目前不需要采取任何措施。

目前可用的 GKE 和 GKE Enterprise 版本已实施以下缓解措施来抵御此类攻击：

• 将 kube-apiserver 的 --profiling 标志设置为 false。
• kube-apiserver 日志级别设置为低于 10。

该补丁程序解决了哪一漏洞？

CVE-2020-8561

您好！在 Kubernetes 中发现了一个安全问题（如 CVE-2021-25741 中所述），导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录，包括主机文件系统。

技术详情：

该怎么做？

我们建议您将节点池升级到以下版本之一或更高版本，以利用最新补丁程序：

• 1.21.4-gke.301
• 1.20.10-gke.301
• 1.19.14-gke.301
• 1.18.20-gke.4501

以下版本还包含修复：

• 1.21.3-gke.2001
• 1.20.8-gke.2101
• 1.20.9-gke.701
• 1.20.9-gke.1001
• 1.19.12-gke.2101
• 1.19.13-gke.701
• 1.18.20-gke.3001

您好！在 Kubernetes 中发现了一个安全问题（如 CVE-2021-25741 中所述），导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录，包括主机文件系统。

技术详情：

该怎么做？

2021-09-24 更新：修补版本 1.8.3 和 1.7.4 现已发布。

2021-09-17 更新：更正了包含补丁程序的可用版本列表。

为了修复此漏洞，我们已对以下版本的 GKE on VMware 进行了代码更新。将管理员集群和用户集群升级到以下版本之一：

• 1.8.3
• 1.8.2
• 1.7.4
• 1.6.5

您好！在 Kubernetes 中发现了一个安全问题（如 CVE-2021-25741 中所述），导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录，包括主机文件系统。

技术详情：

该怎么做？

2021-9-16 更新：添加了 AWSCluster 和 AWSNodePool 对象支持的 gke 版本的列表。

以下版本的 GKE on AWS 已进行了代码更新，以修复此漏洞。建议您执行以下操作：

• 将 AWSManagementService、AWSCluster 和 AWSNodePool 对象升级到以下版本：
  • 1.8.2
• 将 AWSCluster 和 AWSNodePool 对象的 gke 版本更新为以下某个受支持的 Kubernetes 版本：
  • 1.17.17-gke.15800
  • 1.18.20-gke.4800
  • 1.19.14-gke.600
  • 1.20.10-gke.600

您好！在 Kubernetes 中发现了一个安全问题（如 CVE-2021-25741 中所述），导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录，包括主机文件系统。

技术详情：

该怎么做？

为了修复此漏洞，我们已对以下版本的 GKE on Bare Metal 进行了代码更新。将管理员集群和用户集群升级到以下版本之一：

• 1.8.3
• 1.7.4

2021-09-23 更新：

对于源自 GKE Sandbox 中运行的容器的攻击，这些容器不受此漏洞影响。

2021 年 9 月 15 日更新：

以下 GKE 版本解决了这些漏洞：

• 1.18.20-gke.4100
• 1.19.13-gke.1900
• 1.20.9-gke.1500
• 1.21.3-gke.1400

在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910，可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统（COS 和 Ubuntu）。

技术详情：

在 CVE-2021-33909 中，Linux 内核的文件系统层未正确限制 seq 缓冲区分配，从而导致整数溢出、超出范围写入以及提升至 root。
在 CVE-2021-33910 中，systemd 分配的内存大小值过大（涉及针对本地攻击者控制的路径名的 strdupa 和 alloca），导致操作系统崩溃。

该怎么做？

以下版本的 GKE 的 Linux 节点映像版本已更新，内含修复此漏洞的代码。将集群升级到以下版本之一：

• 1.18.20-gke.4100
• 1.19.13-gke.1900
• 1.20.9-gke.1500
• 1.21.3-gke.1400

在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910，可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统（COS 和 Ubuntu）。

技术详情：

在 CVE-2021-33909 中，Linux 内核的文件系统层未正确限制 seq 缓冲区分配，从而导致整数溢出、超出范围写入以及提升至 root。
在 CVE-2021-33910 中，systemd 分配的内存大小值过大（涉及针对本地攻击者控制的路径名的 strdupa 和 alloca），导致操作系统崩溃。

该怎么做？

GKE on AWS 的 Linux 节点映像版本已更新，内含修复此漏洞的代码。将集群升级到以下版本之一：

• 1.20.10-gke.600
• 1.19.14-gke.600
• 1.18.20-gke.4800
• 1.17.17-gke.15800

在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910，可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统（COS 和 Ubuntu）。

技术详情：

在 CVE-2021-33909 中，Linux 内核的文件系统层未正确限制 seq 缓冲区分配，从而导致整数溢出、超出范围写入以及提升至 root。
在 CVE-2021-33910 中，systemd 分配的内存大小值过大（涉及针对本地攻击者控制的路径名的 strdupa 和 alloca），导致操作系统崩溃。

该怎么做？

GKE on VMware 的 Linux 和 COS 节点映像版本已更新代码以修复此漏洞。将集群升级到以下版本之一：

• 1.9
• 1.8.2
• 1.7.3
• 1.6.4（仅限 Linux）

请参阅版本历史记录 - Kubernetes 和节点内核版本。

发现了新的安全漏洞 CVE-2021-22555，即具有 CAP_NET_ADMIN 特权的恶意操作者有可能会在宿主机上引发容器入侵。此漏洞会影响运行 Linux 2.6.19 或更高版本的所有 GKE 集群和 GKE on VMware。

技术详情

在这种攻击中，Linux 的 netfilter 子系统中的 setsockopt 越界写入可能会导致堆损坏（进而导致拒绝服务攻击）和特权提升。

该怎么做？

以下版本的 Linux on GKE 已更新，内含修复此漏洞的代码。将集群升级到以下版本之一：

• 1.21.1-gke.2200
• 1.20.7-gke.2200
• 1.19.11-gke.2100
• 1.18.20-gke.501

该补丁程序解决了哪一漏洞？

CVE-2021-22555

发现了新的安全漏洞 CVE-2021-22555，即具有 CAP_NET_ADMIN 特权的恶意操作者有可能会在宿主机上引发容器入侵。此漏洞会影响运行 Linux 2.6.19 或更高版本的所有 GKE 集群和 GKE on VMware。

技术详情

在这种攻击中，Linux 的 netfilter 子系统中的 setsockopt 越界写入可能会导致堆损坏（进而导致拒绝服务攻击）和特权提升。

该怎么做？

我们更新了以下版本的 GKE on VMware 上的 Linux，添加了代码，以修复此漏洞。将集群升级到以下版本之一：