Buletin keamanan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26924

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Versi minor berikut terpengaruh, tetapi versi patch-nya tidak tersedia. Kami akan memperbarui buletin ini jika versi patch tersedia:

• 1,26
• 1.27

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di VMware tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di AWS tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di Azure tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE pada Bare Metal tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-52620

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26642

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26581

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 22-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26808

Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang ke Tinggi. Buletin asli menyatakan cluster Autopilot terdampak, tetapi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 15-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26643

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26585

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh.

Cluster Standar dan Autopilot GKE terpengaruh.

Apa yang harus saya lakukan?

Update 24-04-2024: Menambahkan versi patch untuk GKE.

Versi GKE berikut mencakup patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Lakukan mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat memitigasi cluster dari serangan semacam ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada.

Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke bidang kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint bidang kontrol.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi VMware yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi AWS yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di Azure versi Azure yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-1085

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Update 04-04-2024: Koreksi versi minimum untuk kumpulan node GKE Container-Optimized OS.

Versi GKE minimum yang berisi perbaikan OS yang Dioptimalkan untuk Container yang tercantum sebelumnya salah. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini pada Container-Optimized OS. Upgrade kumpulan node Container-Optimized OS Anda ke versi berikut atau yang lebih baru:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3611

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3776

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3610

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-0193

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-6932

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6931

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Update 17-04-2024: Menambahkan versi patch untuk GKE di VMware.

Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.6
• 1.15.10

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

Cluster GKE Standard yang menjalankan node Windows Server dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh.

Cluster GKE Autopilot dan node pool GKE yang menggunakan GKE Sandbox tidak terpengaruh karena tidak mendukung node Windows Server.

Apa yang harus saya lakukan?

Pastikan apakah Anda menggunakan node Windows Server pada cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat terjadinya eksploitasi.

Update cluster GKE dan kumpulan node ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade secara manual cluster dan node pool Windows Server ke salah satu versi GKE berikut atau yang lebih baru:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

GKE pada cluster VMware yang menjalankan node Windows Server dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh.

Apa yang harus saya lakukan?

Pastikan apakah Anda menggunakan node Windows Server pada cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat terjadinya eksploitasi.

Mengupdate GKE pada cluster VMware dan node pool ke versi yang di-patch. Versi GKE pada VMware berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade secara manual cluster dan node pool Windows Server ke salah satu versi GKE pada VMware berikut atau yang lebih baru:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

GKE pada cluster AWS tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

GKE pada cluster Azure tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

GKE pada cluster Bare Metal tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, tempat pengguna dengan izin membuat Pod di node OS yang Dioptimalkan dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 28-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Update 15-02-2024: Karena adanya masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak responsif. Jangan upgrade ke versi patch berikut. Kami akan memperbarui buletin ini ketika versi patch yang lebih baru untuk Ubuntu tersedia untuk 1.25 dan 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Jika Anda sudah melakukan upgrade ke salah satu versi patch ini, downgrade secara manual kumpulan node Anda ke versi sebelumnya di saluran rilis.

Update 14-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Update 06-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam Container-Optimized OS. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool OS yang Dioptimalkan dengan Container ke salah satu versi GKE berikut atau yang lebih baru:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kami mengupdate GKE dengan kode untuk memperbaiki kerentanan ini. Kami akan memperbarui buletin ini jika versi patch tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan dalam Pod Kubernetes. Dalam versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskripsi file secara tidak sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya, atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer mungkin menggunakan kombinasi deskriptor file yang bocor dan kurangnya validasi direktori yang berfungsi untuk mendapatkan akses ke namespace pemasangan host node, serta mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, tempat pengguna dengan izin membuat Pod di node OS yang Dioptimalkan dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-03-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.6
• 1.15.9

Versi patch dan penilaian tingkat keparahan untuk GKE pada VMware sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan dalam Pod Kubernetes. Dalam versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskripsi file secara tidak sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya, atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer mungkin menggunakan kombinasi deskriptor file yang bocor dan kurangnya validasi direktori yang berfungsi untuk mendapatkan akses ke namespace pemasangan host node, serta mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, tempat pengguna dengan izin membuat Pod di node OS yang Dioptimalkan dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE berikut di AWS telah diupdate dengan patch untuk CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan dalam Pod Kubernetes. Dalam versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskripsi file secara tidak sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya, atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer mungkin menggunakan kombinasi deskriptor file yang bocor dan kurangnya validasi direktori yang berfungsi untuk mendapatkan akses ke namespace pemasangan host node, serta mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, tempat pengguna dengan izin membuat Pod di node OS yang Dioptimalkan dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE berikut di Azure telah diupdate dengan patch untuk CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan dalam Pod Kubernetes. Dalam versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskripsi file secara tidak sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya, atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer mungkin menggunakan kombinasi deskriptor file yang bocor dan kurangnya validasi direktori yang berfungsi untuk mendapatkan akses ke namespace pemasangan host node, serta mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, di mana pengguna yang memiliki izin untuk membuat Pod mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 02-04-2024: Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Versi patch dan penilaian tingkat keparahan untuk GKE pada Bare Metal sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan dalam Pod Kubernetes. Dalam versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskripsi file secara tidak sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya, atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer mungkin menggunakan kombinasi deskriptor file yang bocor dan kurangnya validasi direktori yang berfungsi untuk mendapatkan akses ke namespace pemasangan host node, serta mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6817

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 07-02-2024: Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Update 26-01-2024: Riset keamanan yang menemukan sejumlah kecil cluster GKE dengan kesalahan konfigurasi buatan pelanggan yang melibatkan grup system:authenticated kini telah dipublikasikan. Postingan blog peneliti merujuk pada 1.300 cluster dengan beberapa binding yang salah dikonfigurasi, dan 108 cluster dengan hak istimewa tinggi. Kami telah bekerja sama dengan pelanggan yang terpengaruh untuk memberi tahu mereka dan membantu menghapus binding yang salah dikonfigurasi.

Kami telah mengidentifikasi beberapa cluster dengan pengguna yang memberikan hak istimewa Kubernetes ke grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa terendah dan memberikan akses ke kelompok pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk mengetahui petunjuk cara menemukan jenis binding ini.

Baru-baru ini, peneliti keamanan melaporkan temuan cluster dengan kesalahan konfigurasi RBAC melalui program pelaporan kerentanan kami.

Pendekatan Google terhadap autentikasi adalah menjadikan proses autentikasi ke Google Cloud dan GKE sesederhana dan seaman mungkin tanpa menambahkan langkah konfigurasi yang rumit. Autentikasi hanya memberi tahu kita siapa penggunanya; Otorisasi adalah tempat akses ditentukan. Dengan demikian, grup system:authenticated di GKE yang berisi semua pengguna yang diautentikasi melalui penyedia identitas Google berfungsi sebagaimana mestinya dan berfungsi dengan cara yang sama seperti ID allAuthenticatedUsers IAM.

Dengan mempertimbangkan hal ini, kami telah melakukan beberapa langkah untuk mengurangi risiko pengguna melakukan error otorisasi terhadap pengguna dan grup bawaan Kubernetes, termasuk system:anonymous, system:authenticated, dan system:unauthenticated. Semua pengguna/grup ini mewakili risiko bagi cluster jika izin diberikan. Kita membahas beberapa aktivitas penyerang yang menargetkan kesalahan konfigurasi RBAC dan pertahanan yang tersedia di Kubecon pada November 2023.

Untuk melindungi pengguna dari error otorisasi yang tidak disengaja dengan pengguna/grup sistem ini, kami telah:

• Secara default memblokir binding baru dari ClusterRole cluster-admin dengan hak istimewa tinggi ke Pengguna system:anonymous, Grup system:authenticated, atau Grup system:unauthenticated di GKE versi 1.28.
• Membuat aturan deteksi ke dalam Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) sebagai bagian dari Security Command Center.
• Membuat aturan pencegahan yang dapat dikonfigurasi ke dalam Pengontrol Kebijakan dengan K8sRestrictRoleBindings.
• Notifikasi email telah dikirimkan ke semua pengguna GKE dengan binding ke pengguna/grup tersebut untuk meminta mereka meninjau konfigurasi.
• Bangun fitur otorisasi jaringan dan rekomendasi yang dibuat untuk membatasi akses jaringan ke cluster sebagai lapisan pertahanan pertama.
• Meningkatkan awareness tentang masalah ini melalui diskusi di Kubecon pada November 2023.

Cluster yang menerapkan pembatasan jaringan yang diotorisasi memiliki lapisan pertahanan pertama: cluster tersebut tidak dapat diserang langsung dari Internet. Namun, kami tetap merekomendasikan penghapusan binding ini untuk pertahanan mendalam dan mencegah error dalam kontrol jaringan.
Perlu diperhatikan bahwa ada sejumlah kasus ketika binding ke pengguna atau grup sistem Kubernetes digunakan secara sengaja: misalnya untuk bootstrap kubeadm, dasbor Rancher dan rahasia tertutup Bitnami. Kami telah mengonfirmasi dengan vendor software tersebut bahwa binding tersebut berfungsi sebagaimana mestinya.

Kami sedang menyelidiki berbagai cara yang dapat kami lakukan untuk memberikan perlindungan lebih lanjut terhadap kesalahan konfigurasi RBAC pengguna dengan pengguna/grup sistem ini melalui pencegahan dan deteksi.

Apa yang harus saya lakukan?

Untuk mencegah binding cluster-admin baru ke pengguna system:anonymous Pengguna, Grup system:authenticated, atau Grup system:unauthenticated dapat mengupgrade ke GKE v1.28 atau yang lebih baru (catatan rilis), tempat pembuatan binding tersebut diblokir.

Binding yang ada harus ditinjau dengan mengikuti panduan ini.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Apa yang harus saya lakukan?

Update 20-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3609

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3389

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3090

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau allow CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3390

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.4-gke.400
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Penyerang yang telah menyusupi container logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Cloud Service Mesh (pada cluster yang telah mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah pada Fluent Bit dan Cloud Service Mesh telah dimitigasi dan perbaikan kini tersedia. Kerentanan ini tidak dapat dieksploitasi sendiri di GKE dan memerlukan penyusupan awal. Kami tidak mengetahui adanya eksploitasi kerentanan ini.

Masalah ini dilaporkan melalui Vulnerability Reward Program kami.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Fluent Bit dan untuk pengguna Cloud Service Mesh terkelola. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut atau yang lebih baru:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran rilis spesifik Anda

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Kerentanan apa yang ditangani oleh patch ini?

Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang menyusupi container logging Fluent Bit. Kami tidak mengetahui adanya kerentanan di Fluent Bit yang akan menyebabkan kondisi prasyarat untuk eskalasi akses ini. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang

GKE menggunakan Fluent Bit untuk memproses log bagi workload yang berjalan di cluster. Fluent Bit di GKE juga dikonfigurasi guna mengumpulkan log untuk workload Cloud Run. Pemasangan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Fluent Bit akses ke token akun layanan Kubernetes untuk Pod lain yang berjalan di node. Peneliti menggunakan akses ini untuk menemukan token akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Cloud Service Mesh.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster

Kami telah menghapus akses Fluent Bit ke token akun layanan dan telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebih.

Hanya GKE pada cluster VMware yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang sudah ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Hanya GKE pada cluster AWS yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang sudah ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Hanya GKE pada cluster Azure yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang sudah ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Hanya GKE pada cluster Bare Metal yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang sudah ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang.

Anthos Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5717

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 22-01-2024: Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Update 04-03-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.5
• 1.15.8

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5197

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4147

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE tidak terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang telah di-patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Misalnya, jika menggunakan GKE versi 1.27, Anda harus melakukan upgrade ke versi patch yang terkait. Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu melakukan upgrade ke versi yang di-patch.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi yang di-patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4004

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar terbaru versi GKE yang dapat Anda gunakan untuk mengupdate Container-Optimized OS:

• 1.24.17-gke.200 atau yang lebih baru
• 1.25.13-gke.200 atau yang lebih baru
• 1.26.8-gke.200 atau yang lebih baru
• 1.27.4-gke.2300 atau yang lebih baru
• 1.28.1-gke.1257000 atau yang lebih baru

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4921

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4015

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.27.5-gke.1647000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3777

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN. Workload GKE Sandbox juga tidak terpengaruh.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh.

Apa yang harus saya lakukan?

Update 09-11-2023: Kami telah merilis GKE versi baru yang mencakup patch keamanan Go dan Kubernetes, yang dapat Anda update cluster Anda sekarang. Dalam beberapa minggu mendatang, kami akan merilis perubahan tambahan pada bidang kontrol GKE untuk memitigasi masalah ini lebih lanjut.

Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Sebaiknya terapkan mitigasi berikut sesegera mungkin dan upgrade ke versi terbaru yang di-patch jika tersedia.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang perlu diupgrade ke bidang kontrol, dan juga membuat patch terlihat dalam postur keamanan GKE jika tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, aktifkan notifikasi cluster.

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kurangi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat menambahkan jaringan resmi untuk cluster yang ada. Untuk mempelajari lebih lanjut, izinkan jaringan untuk cluster yang ada.

Selain jaringan resmi yang Anda tambahkan, terdapat alamat IP yang telah ditetapkan sebelumnya yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint bidang kontrol. Item berikut meringkas isolasi cluster:

• Cluster pribadi dengan cluster berbasis --master-authorized-networks dan PSC dengan konfigurasi --master-authorized-networks dan --no-enable-google-cloud adalah yang paling terisolasi.
• Cluster publik lama dengan cluster berbasis --master-authorized-networks dan PSC dengan konfigurasi --master-authorized-networks dan --enable-google-cloud (default) juga dapat diakses dengan cara berikut:
  • Alamat IP publik semua VM Compute Engine di Google Cloud
  • Alamat IP Google Cloud Platform

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol GKE.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 14-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi patch berikut atau yang lebih baru:

• 1.28.100
• 1.16.6
• 1.15.8

Jika Anda telah mengonfigurasi GKE pada cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: GKE berikut pada versi AWS telah diupdate dengan patch untuk CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di AWS untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: Berikut adalah patch untuk CVE-2023-44487 pada versi GKE berikut yang telah diupdate dengan patch untuk CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di cluster Azure untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. Anthos di Bare Metal membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah mengonfigurasi Anthos di cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE pada Bare Metal.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Cluster GKE hanya terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Bidang kontrol GKE akan diperbarui pada 04-09-2023 untuk mengupdate csi-proxy ke versi 1.1.3. Jika Anda mengupdate node sebelum update bidang kontrol, Anda harus mengupdate node lagi setelah update untuk memanfaatkan proxy baru. Anda dapat mengupdate node lagi, bahkan tanpa mengubah versi node, dengan menjalankan perintah gcloud container clusters upgrade dan meneruskan flag --cluster-version dengan versi GKE yang sama dengan yang sudah dijalankan oleh node pool. Anda harus menggunakan gcloud CLI untuk mendapatkan solusi ini. Perlu diketahui bahwa langkah ini akan menyebabkan update, terlepas dari masa pemeliharaan.

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan meneruskan string jalur yang dibuat ini ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian-bagian string sebagai perintah terpisah. Perintah ini akan dijalankan dengan hak istimewa administratif yang sama seperti Kubelet.

Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin istimewa.

Dengan CVE-2023-3893, tidak adanya sanitasi input yang serupa memungkinkan pengguna yang dapat membuat Pod pada node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat merupakan indikasi kuat terjadinya eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell tersemat dan terpasang ke Pod juga merupakan indikasi kuat terjadinya eksploitasi.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Cluster hanya akan terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan meneruskan string jalur yang dibuat ini ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian-bagian string sebagai perintah terpisah. Perintah ini akan dijalankan dengan hak istimewa administratif yang sama seperti Kubelet.

Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin istimewa.

Dengan CVE-2023-3893, tidak adanya sanitasi input yang serupa memungkinkan pengguna yang dapat membuat Pod pada node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat merupakan indikasi kuat terjadinya eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell tersemat dan terpasang ke Pod juga merupakan indikasi kuat terjadinya eksploitasi.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster Autopilot GKE terpengaruh karena node GKE Autopilot selalu menggunakan image node OS yang Dioptimalkan untuk Container. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node OS yang Dioptimalkan untuk Container akan terpengaruh.

Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum versi 1.25, atau menggunakan GKE Sandbox.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan dari grup mereka, sehingga memungkinkan untuk menggunakan pointer yang menggantung yang menyebabkan kerentanan use-after-free.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan dari grup mereka, sehingga memungkinkan untuk menggunakan pointer yang menggantung yang menyebabkan kerentanan use-after-free.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan dari grup mereka, sehingga memungkinkan untuk menggunakan pointer yang menggantung yang menyebabkan kerentanan use-after-free.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan dari grup mereka, sehingga memungkinkan untuk menggunakan pointer yang menggantung yang menyebabkan kerentanan use-after-free.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 11-07-2023: Versi patch Ubuntu tersedia.

Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh (ASM). Data ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE tidak dikirim dengan ASM dan tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27488, atau CVE-2023-27493, serta kerentanan pada layanan CVE-2023-27492, CVE-2023-27491, maupun CVE-2023-27487), telah ditemukan dalam kerentanan pada GKE, yang merupakan penyebab error pada VMware Envoy. Ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE pada versi VMware berikut:

• 1.13.8
• 1.14.5
• 1.15.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan, pelaku berbahaya dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat error Envoy.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi jika ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti SAN sertifikat pembanding.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu error penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang telah digunakan di Cloud Service. Data ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di AWS tidak dikirim dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang telah digunakan di Cloud Service. Data ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di Azure tidak dikirim dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, atau CVE-2023-27487) yang telah ditemukan oleh penyerang berbahaya pada layanan mesh, yang merupakan error pada layanan CVE-2023-27492. Ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE berikut pada versi Bare Metal:

• 1.13.9
• 1.14.6
• 1.15.2

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan, pelaku berbahaya dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat error Envoy.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi jika ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti SAN sertifikat pembanding.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu error penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Pada CVE-2023-0468, cacat use-after-free ditemukan di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Cacat ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi menyebabkan error sistem yang menyebabkan denial of service.

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node.

GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node.

GKE di Azure tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728).

GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container ephemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan pengguna Anda ke salah satu versi GKE pada VMware berikut:

• 1.13.10
• 1.14.6
• 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728)
Anthos di AWS tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di AWS berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE berikut di versi AWS:

• 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728)
Anthos di Azure tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di Azure berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE berikut di Azure:

• 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728)
Anthos di Bare Metal tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di Bare Metal berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:

• 1.13.9
• 1.14.7
• 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meski GKE tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di VMware tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE pada VMware tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE di AWS tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di Azure tidak terpengaruh oleh CVE ini

Apa yang harus saya lakukan?

Meskipun GKE di Azure tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE pada Bare Metal tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard terpengaruh.

Cluster dan cluster Autopilot GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 06-06-2023: Versi patch Ubuntu tersedia.

Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free dalam filter indeks kontrol traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun.

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. Cluster GKE, termasuk cluster Autopilot, yang terpengaruh adalah dengan COS yang menggunakan Linux Kernel versi 5.10 hingga 5.10.162. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade kumpulan node secara manual ke salah satu versi GKE berikut:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan 1 (CVE-2023-0240): Kondisi race di io_uring dapat menyebabkan container penuh yang keluar ke root pada node. Kernel Linux versi 5.10 akan terpengaruh hingga 5.10.162.

Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di io_uring/time_ns dapat menyebabkan penampung penuh yang pecah ke root pada node. Kernel Linux versi 5.10 akan terpengaruh hingga 5.10.162.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. GKE pada cluster VMware dengan COS yang menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terpengaruh. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

• 1.12.6
• 1.13.5

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan 1 (CVE-2023-0240): Kondisi race di io_uring dapat menyebabkan container penuh yang keluar ke root pada node. Kernel Linux versi 5.10 akan terpengaruh hingga 5.10.162.

Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di io_uring/time_ns dapat menyebabkan container penuh yang di-root pada node. Kernel Linux versi 5.10 akan terpengaruh hingga 5.10.162.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. GKE di Azure tidak terpengaruh oleh CVE ini

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun.

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-4696, cacat use-after-free ditemukan pada io_uring dan ioring_op_splice pada kernel Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal.

Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada VMware yang menjalankan v1.12 dan v1.13 terpengaruh. GKE pada VMware yang menjalankan v1.14 atau yang lebih baru tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE pada versi VMware berikut:

• 1.12.5
• 1.13.5

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-4696, cacat use-after-free ditemukan pada io_uring dan ioring_op_splice pada kernel Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal.

Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE di Azure tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Meskipun mendapatkan rating Tinggi dalam database NVD, endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga ratingnya telah dikurangi menjadi Medium untuk GKE.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-3786 dan CVE-2022-3602, buffer overrun dapat dipicu dalam verifikasi sertifikat X.509 yang dapat menyebabkan error yang akan mengakibatkan denial of service. Agar dapat dieksploitasi, kerentanan ini mengharuskan CA untuk menandatangani sertifikat berbahaya, atau agar aplikasi dapat melanjutkan verifikasi sertifikat meskipun gagal membuat jalur ke penerbit tepercaya.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Apa yang harus saya lakukan?

GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Anda tidak perlu melakukan apa pun.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Anda tidak perlu melakukan apa pun.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Anda tidak perlu melakukan apa pun.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Apa yang harus saya lakukan?

GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Anda tidak perlu melakukan apa pun.

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, juga terdampak.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:

• OS yang Dioptimalkan untuk Container:
  • 1.22.16-gke.1300 dan yang lebih baru
  • 1.23.14-gke.401 dan yang lebih baru
  • 1.24.7-gke.900 dan yang lebih baru
  • 1.25.4-gke.1600 dan yang lebih baru
• Ubuntu:
• 1.22.15-gke.2500 dan yang lebih baru
• 1.23.13-gke.900 dan yang lebih baru
• 1.24.7-gke.900 dan yang lebih baru
• 1.25.3-gke.800 dan yang lebih baru

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer.

Versi 1.11, 1.12, dan 1.13 GKE di VMware terpengaruh.

Apa yang harus saya lakukan?

Upgrade cluster Anda ke versi yang di-patch. Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini:

• 1.13.2
• 1.12.4
• 1.11.5

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer.

Apa yang harus saya lakukan?

GKE versi saat ini dan generasi sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS:

• Generasi saat ini:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• Generasi sebelumnya:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer.

Apa yang harus saya lakukan?

Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer.

GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Cluster GKE, termasuk cluster Autopilot, juga terdampak.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

Pembaruan 16-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:

• 1.22.16-gke.1300 dan yang lebih baru
• 1.23.14-gke.401 dan yang lebih baru
• 1.24.7-gke.900 dan yang lebih baru
• 1.25.4-gke.1600 dan yang lebih baru

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:

• 1.21.14-gke.9500
• 1.24.7-gke.900

Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia.

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.
• Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

Versi 1.13, 1.12, dan 1.11 dari GKE di VMware terpengaruh.

Apa yang harus saya lakukan?

Update 16-12-2022: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE pada versi VMware berikut:

• 1.13.2
• 1.12.4
• 1.11.6

• Catatan: Versi GKE di VMware yang berisi patch OS yang Dioptimalkan untuk Container akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.
• Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

Versi Kubernetes berikut di AWS mungkin terpengaruh:

• 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh
• 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak akan terpengaruh

Kubernetes V1.24 tidak terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:

• 1.23: versi yang lebih baru dari v1.23.9-gke.800
• 1.22: versi yang lebih baru dari 1.22.12-gke-1100

Kerentanan apa yang sedang ditangani?

Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.

Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

Versi Kubernetes berikut di Azure mungkin terpengaruh:

• 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh.
• 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak akan terpengaruh.

Kubernetes V1.24 tidak terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:

• 1.23: versi yang lebih baru dari v1.23.9-gke.800
• 1.22: versi yang lebih baru dari 1.22.12-gke-1100

Kerentanan apa yang sedang ditangani?

Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.

Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol.

Apa yang harus saya lakukan?

Google Kubernetes Engine (GKE) tidak dilengkapi dengan Istio dan tidak terpengaruh oleh kerentanan ini. Namun, jika Anda telah menginstal Cloud Service Mesh atau Istio secara terpisah di cluster GKE Anda, lihat GCP-2022-020, buletin keamanan Cloud Service Mesh mengenai CVE ini, untuk mengetahui informasi selengkapnya.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan dalam Cloud Service Mesh pada GKE pada VMware, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE pada versi VMware berikut:

• 1.11.4
• 1.12.3
• 1.13.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, rentan terhadap error pemrosesan permintaan, yang memungkinkan penyerang berbahaya mengirim pesan yang dibuat khusus, yang menyebabkan bidang kontrol mengalami error saat webhook yang memvalidasi sebuah cluster diekspos secara publik. Endpoint ini disajikan melalui TLS port 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh pada GKE pada Bare Metal, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio.

Apa yang harus saya lakukan?

Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster ke salah satu GKE berikut pada versi Bare Metal:

• 1.11.7
• 1.12.4
• 1.13.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, rentan terhadap error pemrosesan permintaan, yang memungkinkan penyerang berbahaya mengirim pesan yang dibuat khusus, yang menyebabkan bidang kontrol mengalami error saat webhook yang memvalidasi sebuah cluster diekspos secara publik. Endpoint ini disajikan melalui TLS port 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Cluster Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 93 dan 97 akan terkena dampak. Versi GKE lain yang didukung tidak akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 14-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:

• 1.22.15-gke.2500 dan yang lebih baru
• 1.23.13-gke.900 dan yang lebih baru
• 1.24.7-gke.900 dan yang lebih baru

Versi GKE berikut yang menggunakan Container-Optimized OS versi 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:

• 1.22.15-gke.2300 dan yang lebih baru
• 1.23.13-gke.700 dan yang lebih baru
• 1.24.7-gke.700 dan yang lebih baru

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow pada subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal.

Apa yang harus saya lakukan?

Update 14-12-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:

• 1.13.1 dan yang lebih baru
• 1.12.3 dan yang lebih baru
• 1.11.4 dan yang lebih baru

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow pada subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa melakukan eskalasi ke hak istimewa eksekusi sistem.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow pada subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa melakukan eskalasi ke hak istimewa eksekusi sistem.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow pada subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh ke root pada node.

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Google Kubernetes Engine (GKE) v1.21, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 89 akan terpengaruh. Versi GKE berikutnya tidak terpengaruh. Semua cluster Linux dengan Ubuntu akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

Update 15-12-2022: Versi 1.21.14-gke.9400 menunggu peluncuran dan dapat digantikan oleh nomor versi yang lebih tinggi. Kami akan memperbarui dokumen ini saat versi baru tersebut tersedia.

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:

• OS yang Dioptimalkan untuk Container:
  • 1.21.14-gke.7100 dan yang lebih baru
• Ubuntu:
• 1.21.14-gke.9400 dan yang lebih baru
• 1.22.15-gke.2400 dan yang lebih baru
• 1.23.13-gke.800 dan yang lebih baru
• 1.24.7-gke.800 dan yang lebih baru
• 1.25.3-gke.700 dan yang lebih baru

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses.

Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh ke root pada node.

Apa yang harus saya lakukan?

• Versi GKE di VMware dengan Container-Optimized OS tidak akan terpengaruh.

Update 2022-11-21: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:

• 1.12.3 dan yang lebih baru
• 1.13.1 dan yang lebih baru
• 1.11.5 dan yang lebih baru

Versi GKE di VMware yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses.

Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node.

Apa yang harus saya lakukan?

Update 21-11-2022: Versi GKE generasi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Versi GKE di AWS yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di versi AWS tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses.

Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node.

Apa yang harus saya lakukan?

Update 21-11-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Versi GKE di Azure yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses.

Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh ke root pada node.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node.

Detail teknis

Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS (COS) yang menggunakan Linux Kernel versi 5.10 akan terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Upgrade cluster GKE Anda ke versi yang menyertakan perbaikan. Image node Linux untuk COS telah diupdate beserta versi GKE menggunakan versi COS tersebut.

Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade node secara manual ke salah satu versi GKE berikut:

Versi COS

• 1.22.12-gke.300

• 1.23.8-gke.1900

• 1.24.2-gke.1900

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-2327

Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node.

Cluster dengan image Container Optimized OS (COS) yang menggunakan GKE pada VMware versi 1.10, 1.11, dan 1.12 akan terpengaruh.

Apa yang harus saya lakukan?

Update 14-09-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini.

• 1.10.6 atau yang lebih baru
• 1.11.3 atau yang lebih baru
• 1.12.1 atau yang lebih baru

Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-2327

Dengan CVE-2022-2327, kernel Linux versi 5.10 memiliki kerentanan pada subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (flag). Penggunaan permintaan ini tanpa menentukan jenis item yang tepat dapat menyebabkan eskalasi akses ke root.

Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node.

Apa yang harus saya lakukan?

Update 14-09-2022: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS:

Generasi saat ini

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

Generasi sebelumnya

• 1.23.8-gke.2000
• 1.22.12-gke.300
• 1.21.14-gke.2100

Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di AWS versi tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-2327

Dengan CVE-2022-2327, kernel Linux versi 5.10 memiliki kerentanan pada subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (flag). Penggunaan permintaan ini tanpa menentukan jenis item yang tepat dapat menyebabkan eskalasi akses ke root.

Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node.

Apa yang harus saya lakukan?

Update 14-09-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-2327

Dengan CVE-2022-2327, kernel Linux versi 5.10 memiliki kerentanan pada subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (flag). Penggunaan permintaan ini tanpa menentukan jenis item yang tepat dapat menyebabkan eskalasi akses ke root.

Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

Update 2022-11-22: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.

Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Hanya cluster yang menjalankan Container-Optimized OS yang akan terpengaruh. Versi GKE Ubuntu menggunakan kernel versi 5.4 atau 5.15 dan tidak terpengaruh.

Apa yang harus saya lakukan?

Versi image node Linux untuk Container-Optimized OS bagi versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE mendatang berikut:

• 1.22.10-gke.600
• 1.23.7-gke.1400
• 1.24.1-gke.1400

Fitur saluran rilis terbaru memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-1786, cacat use-after-free ditemukan dalam subsistem io_uring kernel Linux. Jika pengguna menyiapkan lingkaran dengan IORING_SETUP_IOPOLL dengan lebih dari satu tugas menyelesaikan pengiriman pada lingkaran, pengguna lokal dapat mengalami error atau mengeskalasikan hak istimewanya di sistem.

Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node.

Apa yang harus saya lakukan?

Update 21-07-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini.

COS

• 1.10.5 atau yang lebih baru
• 1.11.2 atau yang lebih baru
• 1.12.0 atau yang lebih baru

Ubuntu

Anda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak menggunakan versi kernel Linux yang terpengaruh.

Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh.

Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh.

Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

Pembaruan 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116.

Update 29-07-2022: Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini.

Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Semua cluster Linux (OS yang Dioptimalkan untuk Container dan Ubuntu) akan terpengaruh.

Apa yang harus saya lakukan?

Versi image node Linux untuk Container-Optimized OS dan Ubuntu untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:

• OS yang Dioptimalkan untuk Container:
  • 1.19.16-gke.13800
  • 1.20.15-gke.8000
  • 1.21.12-gke.1500
  • 1.22.9-gke.1300
  • 1.23.6-gke.1500
  • 1.24.1-gke.1400
• Ubuntu:
  • 1.20.15-gke.9600
  • 1.21.13-gke.900
  • 1.22.10-gke.600
  • 1.23.7-gke.1400
  • 1.24.1-gke.1400

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root.

Update 29-07-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini.

• 1.9.7 atau yang lebih baru
• 1.10.5 atau yang lebih baru
• 1.11.2 atau yang lebih baru
• 1.12.0 atau yang lebih baru

Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi GKE pada VMware v1.9 dan yang lebih baru untuk image Container-Optimized OS dan Ubuntu.

Apa yang harus saya lakukan?

Versi GKE pada VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root.

Update 29-07-2022: Pembaruan: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS:

Generasi saat ini:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

• 1.23.7-gke.1500
• 1.22.10-gke.1500
• 1.21.13-gke.1600

Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi semua versi GKE di AWS.

Apa yang harus saya lakukan?

Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di versi AWS tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root.

Update 29-07-2022: Update: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi semua versi GKE di Azure.

Apa yang harus saya lakukan?

Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root.

Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini karena tidak memaketkan sistem operasi dalam distribusinya.

Update 2022-11-22: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh oleh kerentanan ini.

Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

Detail teknis

Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

Apa yang harus saya lakukan?

Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE mendatang berikut:

• 1.19.16-gke.11000 dan yang lebih baru
• 1.20.15-gke.5200 dan yang lebih baru
• 1.21.11-gke.1100 dan yang lebih baru
• 1.22.8-gke.200 dan yang lebih baru
• 1.23.5-gke.1500 dan yang lebih baru

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-1055
• CVE-2022-27666

Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

Detail teknis

Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

Apa yang harus saya lakukan?

Upgrade cluster Anda ke versi yang di-patch. GKE pada versi VMware berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:

• 1.9.6 (akan datang)
• 1.10.3
• 1.11.0 (akan datang)

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-1055
• CVE-2022-27666

Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

Detail teknis

Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

Apa yang harus saya lakukan?

Update 12-05-2022: Versi GKE generasi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.20.15-gke.5200
• 1.21.11-gke.1100
• 1.22.8-gke.1300

Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-1055
• CVE-2022-27666

Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

Detail teknis

Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

Apa yang harus saya lakukan?

Update 12-05-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-1055
• CVE-2022-27666

Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

Detail teknis

Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-1055 dan CVE-2022-27666.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• CVE-2022-1055
• CVE-2022-27666

Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu) yang menggunakan container secara default. Semua node GKE, Autopilot, dan GKE Sandbox akan terpengaruh.

Apa yang harus saya lakukan?

Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual node Anda ke salah satu versi GKE berikut:

• 1.19.16-gke.9400
• 1.20.15-gke.3600
• 1.21.10-gke.1500
• 1.22.7-gke.1500
• 1.23.4-gke.1500

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu.

Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua GKE di VMware yang mengaktifkan stackdriver, yang menggunakan containerd. GKE pada VMware versi 1.8, 1.9, dan 1.10 terpengaruh

Apa yang harus saya lakukan?

Update 22-04-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

• 1.9.5 atau yang lebih baru
• 1.10.3 atau yang lebih baru
• 1.11.0 atau yang lebih baru

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:

• 1.8.8 atau yang lebih baru
• 1.9.5 atau yang lebih baru
• 1.10.2 atau yang lebih baru

CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE pada versi AWS terpengaruh.

Apa yang harus saya lakukan?

Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS.

GKE di AWS (generasi saat ini)

• Versi 1.22: 1.22.8-gke.200
• Versi 1.21: 1.21.11-gke.100

GKE di AWS (generasi sebelumnya)

• Versi 1.22: 1.22.8-gke.300
• Versi 1.21: 1.21.11-gke.100
• Versi 1.20: 1.20.15-gke.2200

CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE di versi Azure terpengaruh.

Apa yang harus saya lakukan?

Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda sebagai berikut:

• Versi 1.22: 1.22.8-gke.200
• Versi 1.21: 1.21.11-gke.100

CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua Google Distributed Cloud Virtual for Bare Metal yang menggunakan container. Google Distributed Cloud Virtual untuk Bare Metal versi 1.8, 1.9, dan 1.10 akan terpengaruh

Apa yang harus saya lakukan?

Update 22-04-2022: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut berisi kode yang memperbaiki kerentanan ini.

• 1.8.9 atau yang lebih baru
• 1.9.6 atau yang lebih baru
• 1.10.3 atau yang lebih baru
• 1.11.0 atau yang lebih baru

Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:

• 1.8.8 atau yang lebih baru
• 1.9.5 atau yang lebih baru
• 1.10.2 atau yang lebih baru

CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

Update 2022-11-22: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.

Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa container ke root. Kerentanan ini memengaruhi semua node pool GKE versi v1.22 dan yang lebih baru yang menggunakan image OS yang Dioptimalkan untuk Container (Container-Optimized OS 93 dan yang lebih baru). Kumpulan node GKE yang menggunakan OS Ubuntu tidak terpengaruh.

Apa yang harus saya lakukan?

Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node ke salah satu versi GKE berikut:

• 1.22.7-gke.1500 dan yang lebih baru
• 1.23.4-gke.1600 dan yang lebih baru

Fitur terbaru saluran rilis memungkinkan Anda menerapkan versi patch dari saluran rilis lainnya tanpa harus berhenti berlangganan dari sebuah saluran. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flag" dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka.

Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke GKE versi node pool yang telah diupdate.

Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi GKE di VMware v1.10 untuk image OS yang Dioptimalkan untuk Container. Saat ini, GKE di VMware dengan Ubuntu menggunakan kernel versi 5.4 dan tidak rentan terhadap serangan ini.

Apa yang harus saya lakukan?

Versi image node Linux untuk versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke versi GKE pada VMware berikut:

• 1.10.3

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flag" dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka.

Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi terbaru GKE di VMware.

Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root.

Kerentanan ini memengaruhi cluster GKE terkelola pada AWS v1.21 dan cluster yang berjalan di GKE pada AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu.

Apa yang harus saya lakukan?

Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini.

Untuk GKE terkelola di AWS, sebaiknya Anda mengupgrade cluster pengguna dan node pool ke salah satu versi berikut:

• 1.21.11-gke.100

Untuk GKE k-lite di AWS, sebaiknya upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool ke versi berikut:

• 1.21.11-gke.100
• 1.20.15-gke.2200

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flag" dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka.

Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster GKE terkelola di Azure v1.21 yang menggunakan Ubuntu.

Apa yang harus saya lakukan?

Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade cluster pengguna dan node pool ke versi berikut:

• 1.21.11-gke.100

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flag" dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka.

Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-0847.

Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Simultaneous Multi-Threading (SMT). SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum.

Jika Anda mengaktifkan SMT secara manual untuk kumpulan node dengan sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini.

Ada kesalahan konfigurasi dengan Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Kesalahan konfigurasi membuat node berpotensi terkena serangan saluran samping seperti Microarchitectural Data Sampling (MDS) (untuk konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Jika Anda mengaktifkan SMT untuk kumpulan node secara manual, masalah ini tidak akan memengaruhi node yang di-sandbox.

Apa yang harus saya lakukan?

Upgrade node Anda ke salah satu versi berikut:

• 1.22.6-gke.1500 dan yang lebih baru
• 1.23.3-gke.1100 dan yang lebih baru

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Node GKE Sandbox menonaktifkan SMT secara default, sehingga memitigasi serangan side-channel.

Update 15-03-2022: Penambahan panduan hardening untuk GKE pada AWS dan GKE di Azure. Menambahkan bagian tentang persistensi menggunakan webhook.

Beberapa jalur tak terduga untuk mengakses VM node pada cluster Autopilot GKE dapat digunakan untuk mengeskalasikan hak istimewa di cluster. Masalah ini telah diperbaiki dan tidak perlu tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami.

Pengguna cluster GKE Standard dan GKE dapat secara opsional menerapkan kebijakan hardening yang serupa seperti yang dijelaskan di bawah ini.

Detail teknis

Akses host menggunakan pengecualian kebijakan pihak ketiga

Agar Google Cloud dapat menawarkan pengelolaan node secara penuh, dan SLA level Pod, GKE Autopilot membatasi beberapa primitif Kubernetes dengan hak istimewa tinggi untuk membatasi workload agar tidak memiliki akses level rendah ke VM node. Untuk menetapkan hal ini dalam konteks: GKE Standard memberikan akses penuh ke komputasi yang mendasarinya, Autopilot memberikan akses terbatas, dan Cloud Run tidak memberikan akses.

Autopilot memberikan sedikit batasan terkait daftar alat pihak ketiga yang telah ditetapkan untuk memungkinkan pelanggan menjalankan alat tersebut dengan Autopilot tanpa modifikasi. Dengan menggunakan hak istimewa untuk membuat pod dengan penyangga jalur host, peneliti dapat menjalankan container dengan hak istimewa di pod yang terlihat seperti salah satu alat pihak ketiga yang telah masuk daftar yang diizinkan ini untuk mendapatkan akses ke host.

Kemampuan untuk menjadwalkan pod dengan cara ini diharapkan ada di GKE Standard, tetapi tidak pada GKE Autopilot, karena cara ini mengabaikan pembatasan akses host yang digunakan untuk mengaktifkan SLA yang dijelaskan sebelumnya.

Masalah ini telah diperbaiki dengan memperketat spesifikasi pod listingan yang diizinkan pihak ketiga.

Eskalasi akses dari root-di-node

Selain akses host, pod stackdriver-metadata-agent-cluster-level dan metrics-server diidentifikasi sebagai hak istimewa tinggi. Setelah mendapatkan akses level root ke node, layanan ini dapat digunakan untuk mendapatkan kontrol lebih lanjut atas cluster tersebut.

Kami telah menghentikan penggunaan dan menghapus stackdriver-metadata-agent untuk GKE Standard dan Autopilot. Komponen ini masih digunakan di GKE pada VMware dan Google Distributed Cloud Virtual untuk Bare Metal.

Sebagai tindakan hardening sistem untuk mencegah jenis serangan ini di masa mendatang, kami akan menerapkan batasan Autopilot dalam rilis mendatang yang mencegah update pada akun layanan berbagai objek di namespace kube-system. Kami mengembangkan kebijakan Gatekeeper agar Anda dapat menerapkan perlindungan serupa ke cluster GKE Standard dan cluster GKE untuk mencegah modifikasi mandiri workload dengan hak istimewa. Kebijakan ini diterapkan secara otomatis untuk cluster Autopilot. Untuk petunjuk, lihat panduan hardening berikut:

• Standar GKE
• GKE di VMware
• Google Distributed Cloud Virtual untuk Bare Metal
• Update 15-03-2022: GKE di AWS
• Update 15-03-2022: GKE di Azure

Penambahan 15-03-2022: Persistensi menggunakan webhook bermutasi

Webhook yang bermutasi digunakan dalam laporan ini untuk mendapatkan hak istimewa di cluster pasca-penyusupan. Bagian ini adalah bagian standar dari Kubernetes API yang dibuat oleh admin cluster, dan terlihat oleh administrator saat Autopilot menambahkan dukungan untuk webhook yang ditentukan pelanggan.