Semua buletin keamanan untuk produk berikut dijelaskan di halaman ini:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (khusus software) di VMware
- GKE on AWS
- GKE on Azure
- Google Distributed Cloud (khusus software) pada bare metal
Kerentanan sering kali dirahasiakan di bawah embargo sampai pihak yang terkena dampak memiliki kesempatan untuk mengatasinya. Dalam kasus ini, catatan rilis produk akan merujuk pada "update keamanan" hingga embargo dicabut. Pada tahap ini, catatan akan diperbarui untuk menunjukkan kerentanan yang dapat diatasi patch.
Saat GKE menerbitkan buletin keamanan yang berkorelasi langsung dengan
konfigurasi atau versi cluster Anda, kami mungkin mengirimkan notifikasi cluster SecurityBulletinEvent
yang memberikan informasi tentang kerentanan dan tindakan
yang dapat Anda ambil, jika berlaku. Untuk mengetahui informasi tentang cara menyiapkan notifikasi
cluster, lihat Notifikasi cluster.
Untuk mengetahui informasi lebih lanjut tentang cara Google mengelola kerentanan dan patch keamanan untuk GKE dan GKE Enterprise, lihat Patching keamanan.
Platform GKE dan GKE Enterprise tidak menggunakan komponen seperti ingress-nginx
dan runtime container CRI-O, serta tidak terpengaruh oleh kerentanan apa pun dalam komponen tersebut. Jika Anda menginstal komponen dari
sumber lain, lihat update keamanan dan saran patch untuk komponen
tersebut di sumber.
Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini.
GCP-2024-038
Dipublikasikan: 26-06-2024
Referensi:
CVE-2024-26924
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GDC (bare metal)
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-036
Dipublikasikan: 18-06-2024
Referensi:
CVE-2024-26584
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-035
Dipublikasikan: 12-06-2024
Referensi:
CVE-2024-26584
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh, tetapi versi patch-nya tidak tersedia. Kami akan memperbarui buletin ini jika versi patch tersedia:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-034
Dipublikasikan: 11-06-2024
Referensi:
CVE-2024-26583
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-033
Dipublikasikan: 10-06-2024
Referensi:
CVE-2022-23222
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-031
Dipublikasikan: 24-05-2024
Referensi: CVE-2024-4323
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE di VMware tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE di AWS tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE di Azure tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE pada Bare Metal tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2024-030
Dipublikasikan: 15-05-2024
Referensi:
CVE-2023-52620
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-029
Dipublikasikan: 14-05-2024
Referensi:
CVE-2024-26642
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-028
Dipublikasikan: 13-05-2024
Diperbarui: 22-05-2024
Referensi:
CVE-2024-26581
Update 22-05-2024: Menambahkan versi patch untuk node Ubuntu.
GKE
Diperbarui: 22-05-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 22-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-027
Dipublikasikan: 08-05-2024
Diperbarui: 09-05-2024, 15-05-2024
Referensi:
CVE-2024-26808
Update 15-05-2024: Penambahan versi patch untuk kumpulan node GKE Ubuntu.
Update 09-05-2024: Koreksi tingkat keparahan dari Sedang ke Tinggi dan mengklarifikasi bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 09-05-2024, 15-05-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang ke Tinggi.
Buletin asli menyatakan cluster Autopilot terdampak, tetapi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 15-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-026
Dipublikasikan: 07-05-2024
Diperbarui: 09-05-2024
Referensi:
CVE-2024-26643
Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang menjadi Tinggi.
GKE
Diperbarui: 09-05-2024
Deskripsi | Tingkat keparahan |
---|---|
Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang menjadi Tinggi. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-024
Dipublikasikan: 25-04-2024
Referensi:
CVE-2024-26585
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-022
Dipublikasikan: 03-04-2024
Diperbarui: 24-04-2024
Referensi: CVE-2023-45288
Update 24-04-2024: Menambahkan versi patch untuk GKE.
GKE
Diperbarui: 24-04-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh. Cluster Standar dan Autopilot GKE terpengaruh. Apa yang harus saya lakukan?Update 24-04-2024: Menambahkan versi patch untuk GKE. Versi GKE berikut mencakup patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:
Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Lakukan mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:Anda dapat memitigasi cluster dari serangan semacam ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke bidang kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint bidang kontrol. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi VMware yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi AWS yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di Azure versi Azure yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GCP-2024-018
Dipublikasikan: 12-03-2024
Diperbarui: 06-05-2024
Referensi:
CVE-2024-1085
Update 06-05-2024: Menambahkan versi patch untuk kumpulan node GKE Ubuntu dan menghapus elemen garis horizontal tambahan dari update 04-04-2024.
Update 04-04-2024: Perbaikan versi minimum untuk node pool GKE Container-Optimized OS.
GKE
Diperbarui: 06-05-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 06-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru.
Update 04-04-2024: Koreksi versi minimum untuk kumpulan node GKE Container-Optimized OS. Versi GKE minimum yang berisi perbaikan OS yang Dioptimalkan untuk Container yang tercantum sebelumnya salah. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini pada Container-Optimized OS. Upgrade kumpulan node Container-Optimized OS Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-017
Dipublikasikan: 06-03-2024
Referensi:
CVE-2023-3611
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-014
Dipublikasikan: 26-02-2024
Referensi:
CVE-2023-3776
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-013
Dipublikasikan: 23-02-2024
Referensi:
CVE-2023-3610
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-012
Dipublikasikan: 20-02-2024
Referensi:
CVE-2024-0193
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-011
Dipublikasikan: 15-02-2024
Referensi:
CVE-2023-6932
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-010
Dipublikasikan: 14-02-2024
Diperbarui: 17-04-2024
Referensi:
CVE-2023-6931
Update 17-04-2024: Menambahkan versi patch untuk GKE pada VMware.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 17-04-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Update 17-04-2024: Menambahkan versi patch untuk GKE di VMware. Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
|
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-008
Dipublikasikan: 12-02-2024
Referensi: CVE-2023-5528
GKE
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. Cluster GKE Standard yang menjalankan node Windows Server dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh. Cluster GKE Autopilot dan node pool GKE yang menggunakan GKE Sandbox tidak terpengaruh karena tidak mendukung node Windows Server. Apa yang harus saya lakukan?Pastikan apakah Anda menggunakan node Windows Server pada cluster: kubectl get nodes -l kubernetes.io/os=windows Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat terjadinya eksploitasi. Update cluster GKE dan kumpulan node ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade secara manual cluster dan node pool Windows Server ke salah satu versi GKE berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. GKE pada cluster VMware yang menjalankan node Windows Server dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh. Apa yang harus saya lakukan?Pastikan apakah Anda menggunakan node Windows Server pada cluster: kubectl get nodes -l kubernetes.io/os=windows Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat terjadinya eksploitasi. Mengupdate GKE pada cluster VMware dan node pool ke versi yang di-patch. Versi GKE pada VMware berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade secara manual cluster dan node pool Windows Server ke salah satu versi GKE pada VMware berikut atau yang lebih baru:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. GKE pada cluster AWS tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. GKE pada cluster Azure tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. GKE pada cluster Bare Metal tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GCP-2024-005
Dipublikasikan: 31-01-2024
Diperbarui: 06-05-2024
Referensi: CVE-2024-21626
Update 06-05-2024: Penambahan versi patch untuk GKE di AWS dan GKE di Azure.
Update 02-04-2024: Menambahkan versi patch untuk GKE pada Bare Metal
Update 06-03-2024: Menambahkan versi patch untuk GKE pada VMware
Update 2024-02-28: Penambahan versi patch untuk Ubuntu
Update 15-02-2024: Mengklarifikasi bahwa update patch 1.20-02-20 yang tidak responsif: Mengklarifikasi bahwa versi patch 1.20-02-20 yang tidak responsif:
Update 14-02-2024: Menambahkan versi patch untuk Ubuntu
Update 06-02-2024: Versi patch untuk OS yang Dioptimalkan dengan Container.
GKE
Diperbarui: 06-03-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 28-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Update 15-02-2024: Karena adanya masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak responsif. Jangan upgrade ke versi patch berikut. Kami akan memperbarui buletin ini ketika versi patch yang lebih baru untuk Ubuntu tersedia untuk 1.25 dan 1.26.
Jika Anda sudah melakukan upgrade ke salah satu versi patch ini, downgrade secara manual kumpulan node Anda ke versi sebelumnya di saluran rilis. Update 14-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Update 06-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam Container-Optimized OS. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool OS yang Dioptimalkan dengan Container ke salah satu versi GKE berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. Kami mengupdate GKE dengan kode untuk memperbaiki kerentanan ini. Kami akan memperbarui buletin ini jika versi patch tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on VMware
Diperbarui: 06-03-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-03-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
Versi patch dan penilaian tingkat keparahan untuk GKE pada VMware sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on AWS
Diperbarui: 06-05-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-05-2024: Versi GKE berikut di AWS telah diupdate dengan patch untuk CVE-2024-21626:
Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on Azure
Diperbarui: 06-05-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-05-2024: Versi GKE berikut di Azure telah diupdate dengan patch untuk CVE-2024-21626:
Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on Bare Metal
Diperbarui: 02-04-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 02-04-2024: Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
Versi patch dan penilaian tingkat keparahan untuk GKE pada Bare Metal sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GCP-2024-004
Dipublikasikan: 24-01-2024
Diperbarui: 07-02-2024
Referensi:
CVE-2023-6817
Update 07-02-2024: Menambahkan versi patch untuk Ubuntu.
GKE
Diperbarui: 07-02-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 07-02-2024: Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-003
Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024
Update 26-01-2024: Mengklarifikasi jumlah cluster yang terpengaruh dan tindakan yang
kami ambil untuk membantu mengurangi dampaknya.
GKE
Diperbarui: 26-01-2024
Deskripsi | Tingkat keparahan |
---|---|
Update 26-01-2024: Riset keamanan yang menemukan sejumlah kecil
cluster GKE dengan kesalahan konfigurasi buatan pelanggan yang melibatkan
grup Kami telah mengidentifikasi beberapa cluster dengan pengguna yang memberikan hak istimewa Kubernetes ke grup Baru-baru ini, peneliti keamanan melaporkan temuan cluster dengan kesalahan konfigurasi RBAC melalui program pelaporan kerentanan kami. Pendekatan Google terhadap autentikasi adalah menjadikan proses autentikasi ke Google Cloud dan GKE sesederhana dan seaman mungkin tanpa menambahkan langkah konfigurasi yang rumit.
Autentikasi hanya memberi tahu kita siapa penggunanya; Otorisasi adalah tempat akses ditentukan. Dengan demikian, grup Dengan mempertimbangkan hal ini, kami telah melakukan beberapa langkah untuk mengurangi risiko pengguna melakukan error otorisasi terhadap pengguna dan grup bawaan Kubernetes, termasuk Untuk melindungi pengguna dari error otorisasi yang tidak disengaja dengan pengguna/grup sistem ini, kami telah:
Cluster yang menerapkan pembatasan jaringan yang diotorisasi memiliki lapisan pertahanan pertama: cluster tersebut tidak dapat diserang langsung dari Internet. Namun, kami tetap merekomendasikan penghapusan binding ini untuk pertahanan mendalam dan mencegah error dalam kontrol jaringan. Kami sedang menyelidiki berbagai cara yang dapat kami lakukan untuk memberikan perlindungan lebih lanjut terhadap kesalahan konfigurasi RBAC pengguna dengan pengguna/grup sistem ini melalui pencegahan dan deteksi. Apa yang harus saya lakukan?Untuk mencegah binding Binding yang ada harus ditinjau dengan mengikuti panduan ini. |
Sedang |
GKE on VMware
Tidak ada pembaruan saat ini.
GKE on AWS
Tidak ada pembaruan saat ini.
GKE on Azure
Tidak ada pembaruan saat ini.
GKE on Bare Metal
Tidak ada pembaruan saat ini.
GCP-2024-002
Dipublikasikan: 17-01-2024
Diperbarui: 20-02-2024
Referensi:
CVE-2023-6111
Update 20-02-2024: Menambahkan versi patch untuk GKE di VMware.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 20-02-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan?Update 20-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100 |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-051
Dipublikasikan: 28-12-2023
Referensi:
CVE-2023-3609
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-050
Dipublikasikan: 27-12-2023
Referensi:
CVE-2023-3389
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-049
Dipublikasikan: 20-12-2023
Referensi:
CVE-2023-3090
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-048
Dipublikasikan: 15-12-2023
Diperbarui: 21-12-2023
Referensi:
CVE-2023-3390
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-047
Dipublikasikan: 14-12-2023
GKE
Deskripsi | Tingkat keparahan |
---|---|
Penyerang yang telah menyusupi container logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Cloud Service Mesh (pada cluster yang telah mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah pada Fluent Bit dan Cloud Service Mesh telah dimitigasi dan perbaikan kini tersedia. Kerentanan ini tidak dapat dieksploitasi sendiri di GKE dan memerlukan penyusupan awal. Kami tidak mengetahui adanya eksploitasi kerentanan ini. Masalah ini dilaporkan melalui Vulnerability Reward Program kami. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Fluent Bit dan untuk pengguna Cloud Service Mesh terkelola. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut atau yang lebih baru:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran rilis spesifik Anda Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Kerentanan apa yang ditangani oleh patch ini? Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang menyusupi container logging Fluent Bit. Kami tidak mengetahui adanya kerentanan di Fluent Bit yang akan menyebabkan kondisi prasyarat untuk eskalasi akses ini. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang GKE menggunakan Fluent Bit untuk memproses log bagi workload yang berjalan di cluster. Fluent Bit di GKE juga dikonfigurasi guna mengumpulkan log untuk workload Cloud Run. Pemasangan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Fluent Bit akses ke token akun layanan Kubernetes untuk Pod lain yang berjalan di node. Peneliti menggunakan akses ini untuk menemukan token akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Cloud Service Mesh. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster Kami telah menghapus akses Fluent Bit ke token akun layanan dan telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebih. |
Sedang |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Hanya GKE pada cluster VMware yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang sudah ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Hanya GKE pada cluster AWS yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang sudah ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Hanya GKE pada cluster Azure yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang sudah ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Hanya GKE pada cluster Bare Metal yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang diatasi oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang sudah ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang. Anthos Service Mesh memerlukan hak istimewa tinggi untuk melakukan modifikasi yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GCP-2023-046
Dipublikasikan: 22-11-2023
Diperbarui: 04-03-2024
Referensi:
CVE-2023-5717
Update 04-03-2024: Penambahan versi GKE untuk GKE pada VMware.
Update 22-01-2024: Menambahkan versi patch Ubuntu.
GKE
Diperbarui: 22-01-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 22-01-2024: Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 29-02-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Update 04-03-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
|
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-045
Dipublikasikan: 20-11-2023
Diperbarui: 21-12-2023
Referensi:
CVE-2023-5197
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-042
Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023
Referensi:
CVE-2023-4147
Update 15-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch terkait untuk GKE.
GKE
Diperbarui: 15-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE tidak terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang telah di-patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Misalnya, jika menggunakan GKE versi 1.27, Anda harus melakukan upgrade ke versi patch yang terkait. Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu melakukan upgrade ke versi yang di-patch. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi yang di-patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-041
Dipublikasikan: 08-11-2023
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Referensi:
CVE-2023-4004
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 05-12-2023: Penambahan versi GKE tambahan untuk node pool OS yang Dioptimalkan untuk Container.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar terbaru versi GKE yang dapat Anda gunakan untuk mengupdate Container-Optimized OS:
Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-040
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4921
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-039
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 16-11-2023
Referensi:
CVE-2023-4622
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan di buletin keamanan versi sebelumnya.
GKE
Diperbarui: 21-11-2023, 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Diperbarui: 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Diperbarui: 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Diperbarui: 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Diperbarui: 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-038
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4623
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-037
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4015
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-035
Dipublikasikan: 26-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tinggi |
GCP-2023-033
Dipublikasikan: 24-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-3777
Update 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node OS yang Dioptimalkan dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
GCP-2023-030
Dipublikasikan: 10-10-2023
Diperbarui: 20-03-2024
Referensi: CVE-2023-44487CVE-2023-39325
Update 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure
Update 14-02-2024: Penambahan versi patch
untuk GKE di VMware
Update 09-11-2023: Menambahkan CVE-2023-39325. Versi GKE yang telah diupdate dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.
GKE
Diperbarui: 09-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh. Apa yang harus saya lakukan?Update 09-11-2023: Kami telah merilis GKE versi baru yang mencakup patch keamanan Go dan Kubernetes, yang dapat Anda update cluster Anda sekarang. Dalam beberapa minggu mendatang, kami akan merilis perubahan tambahan pada bidang kontrol GKE untuk memitigasi masalah ini lebih lanjut. Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:
Sebaiknya terapkan mitigasi berikut sesegera mungkin dan upgrade ke versi terbaru yang di-patch jika tersedia. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang perlu diupgrade ke bidang kontrol, dan juga membuat patch terlihat dalam postur keamanan GKE jika tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, aktifkan notifikasi cluster. Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Kurangi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol: Anda dapat menambahkan jaringan resmi untuk cluster yang ada. Untuk mempelajari lebih lanjut, izinkan jaringan untuk cluster yang ada. Selain jaringan resmi yang Anda tambahkan, terdapat alamat IP yang telah ditetapkan sebelumnya yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint bidang kontrol. Item berikut meringkas isolasi cluster:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol GKE. |
Tinggi |
GKE on VMware
Diperbarui: 14-02-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 14-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi patch berikut atau yang lebih baru:
Jika Anda telah mengonfigurasi GKE pada cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 20-03-2024: GKE berikut pada versi AWS telah diupdate dengan patch untuk CVE-2023-44487:
Jika Anda telah mengonfigurasi GKE di AWS untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 20-03-2024: Berikut adalah patch untuk CVE-2023-44487 pada versi GKE berikut yang telah diupdate dengan patch untuk CVE-2023-44487:
Jika Anda telah mengonfigurasi GKE di cluster Azure untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. Anthos di Bare Metal membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Jika Anda telah mengonfigurasi Anthos di cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE pada Bare Metal. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GCP-2023-026
Dipublikasikan: 06-09-2023
Referensi: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Cluster GKE hanya terpengaruh jika menyertakan node Windows. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Bidang kontrol GKE akan diperbarui pada 04-09-2023 untuk mengupdate csi-proxy ke versi 1.1.3. Jika Anda mengupdate node sebelum update bidang kontrol, Anda harus mengupdate node lagi setelah update untuk memanfaatkan proxy baru. Anda dapat mengupdate node lagi, bahkan tanpa mengubah versi node, dengan menjalankan
perintah Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan meneruskan string jalur yang dibuat ini ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian-bagian string sebagai perintah terpisah. Perintah ini akan dijalankan dengan hak istimewa administratif yang sama seperti Kubelet. Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin istimewa. Dengan CVE-2023-3893, tidak adanya sanitasi input yang serupa memungkinkan pengguna yang dapat membuat Pod pada node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut. Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat merupakan indikasi kuat terjadinya eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell tersemat dan terpasang ke Pod juga merupakan indikasi kuat terjadinya eksploitasi. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Cluster hanya akan terpengaruh jika menyertakan node Windows. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan meneruskan string jalur yang dibuat ini ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian-bagian string sebagai perintah terpisah. Perintah ini akan dijalankan dengan hak istimewa administratif yang sama seperti Kubelet. Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin istimewa. Dengan CVE-2023-3893, tidak adanya sanitasi input yang serupa memungkinkan pengguna yang dapat membuat Pod pada node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut. Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat merupakan indikasi kuat terjadinya eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell tersemat dan terpasang ke Pod juga merupakan indikasi kuat terjadinya eksploitasi. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-018
Dipublikasikan: 27-06-2023
Referensi: CVE-2023-2235
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster Autopilot GKE terpengaruh karena node GKE Autopilot selalu menggunakan image node OS yang Dioptimalkan untuk Container. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node OS yang Dioptimalkan untuk Container akan terpengaruh. Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum versi 1.25, atau menggunakan GKE Sandbox. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan dari grup mereka, sehingga memungkinkan untuk menggunakan pointer yang menggantung yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh. Apa yang harus saya lakukan?Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan dari grup mereka, sehingga memungkinkan untuk menggunakan pointer yang menggantung yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan dari grup mereka, sehingga memungkinkan untuk menggunakan pointer yang menggantung yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan dari grup mereka, sehingga memungkinkan untuk menggunakan pointer yang menggantung yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-017
Dipublikasikan: 26-06-2023
Diperbarui: 11-07-2023
Referensi: CVE-2023-31436
Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-31436.
GKE
Diperbarui: 11-07-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 11-07-2023: Versi patch Ubuntu tersedia. Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-31436:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh. Apa yang harus saya lakukan?Kerentanan apa yang sedang ditangani?Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-016
Dipublikasikan: 26-06-2023
Referensi:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
{11-274-202,
{11-CVE-202,
{11-2749CVE-2023-27491CVE-2023-27487
GKE
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh (ASM). Data ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE tidak dikirim dengan ASM dan tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002. |
Tidak ada |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27488, atau CVE-2023-27493, serta kerentanan pada layanan CVE-2023-27492, CVE-2023-27491, maupun CVE-2023-27487), telah ditemukan dalam kerentanan pada GKE, yang merupakan penyebab error pada VMware Envoy. Ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE pada versi VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan, pelaku berbahaya dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat error Envoy. CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi jika ext_authz digunakan. CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti SAN sertifikat pembanding. CVE-2023-27492: Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error. CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu error penguraian pada layanan upstream HTTP/1.
CVE-2023-27487: Header |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang telah digunakan di Cloud Service. Data ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE di AWS tidak dikirim dengan ASM dan tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang telah digunakan di Cloud Service. Data ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE di Azure tidak dikirim dengan ASM dan tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, atau CVE-2023-27487) yang telah ditemukan oleh penyerang berbahaya pada layanan mesh, yang merupakan error pada layanan CVE-2023-27492. Ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM. Apa yang harus saya lakukan?Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE berikut pada versi Bare Metal:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan, pelaku berbahaya dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat error Envoy. CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi jika ext_authz digunakan. CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti SAN sertifikat pembanding. CVE-2023-27492: Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error. CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu error penguraian pada layanan upstream HTTP/1.
CVE-2023-27487: Header |
Tinggi |
GCP-2023-015
Dipublikasikan: 20-06-2023
Referensi: CVE-2023-0468
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Kerentanan apa yang sedang ditangani?Pada CVE-2023-0468, cacat use-after-free ditemukan di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Cacat ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi menyebabkan error sistem yang menyebabkan denial of service. |
Sedang |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node. GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node. GKE di Azure tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam kernel Linux versi 5.15 yang dapat menyebabkan denial of service pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GCP-2023-014
Dipublikasikan: 15-06-2023
Diperbarui: 11-08-2023
Referensi: CVE-2023-2727, CVE-2023-2728
Update 11-08-2023: Penambahan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan GKE pada Bare Metal
GKE
Deskripsi | Tingkat keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728). GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727. Semua versi GKE berpotensi rentan terhadap CVE-2023-2728.Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on VMware
Diperbarui: 11-08-2023
Deskripsi | Tingkat keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container ephemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727. Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728. Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan pengguna Anda ke salah satu versi GKE pada VMware berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on AWS
Diperbarui: 11-08-2023
Deskripsi | Tingkat keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE berikut di versi AWS:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on Azure
Diperbarui: 11-08-2023
Deskripsi | Tingkat keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE berikut di Azure:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on Bare Metal
Diperbarui: 11-08-2023
Deskripsi | Tingkat keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Pembaruan 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GCP-2023-009
Dipublikasikan: 06-06-2023
Referensi: CVE-2023-2878
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meski GKE tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE di VMware tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE pada VMware tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE di AWS tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE di Azure tidak terpengaruh oleh CVE ini Apa yang harus saya lakukan?Meskipun GKE di Azure tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE pada Bare Metal tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GCP-2023-008
Dipublikasikan: 05-06-2023
Referensi: CVE-2023-1872
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini: Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini: Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2023-005
Dipublikasikan: 18-05-2023
Diperbarui: 06-06-2023
Referensi: CVE-2023-1281, CVE-2023-1829
Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829.
GKE
Diperbarui: 06-06-2023
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard terpengaruh. Cluster dan cluster Autopilot GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 06-06-2023: Versi patch Ubuntu tersedia. Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free dalam filter indeks kontrol traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2023-003
Dipublikasikan: 11-04-2023
Diperbarui: 21-12-2023
Referensi: CVE-2023-0240,
CVE-2023-23586
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. Cluster GKE, termasuk cluster Autopilot, yang terpengaruh adalah dengan COS yang menggunakan Linux Kernel versi 5.10 hingga 5.10.162. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade kumpulan node secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan 1 (CVE-2023-0240): Kondisi race di Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. GKE pada cluster VMware dengan COS yang menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terpengaruh. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak akan terpengaruh. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan 1 (CVE-2023-0240): Kondisi race di Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. GKE di Azure tidak terpengaruh oleh CVE ini Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa mengeskalasikan hak istimewa. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2023-001
Dipublikasikan: 01-03-2023
Diperbarui: 21-12-2023
Referensi: CVE-2022-4696
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-4696, cacat use-after-free ditemukan pada io_uring dan ioring_op_splice pada kernel Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada VMware yang menjalankan v1.12 dan v1.13 terpengaruh. GKE pada VMware yang menjalankan v1.14 atau yang lebih baru tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE pada versi VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-4696, cacat use-after-free ditemukan pada io_uring dan ioring_op_splice pada kernel Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE di Azure tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2022-026
Dipublikasikan: 11-01-2023
Referensi: CVE-2022-3786, CVE-2022-3602
GKE
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Meskipun mendapatkan rating Tinggi dalam database NVD, endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga ratingnya telah dikurangi menjadi Medium untuk GKE. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3786 dan CVE-2022-3602, buffer overrun dapat dipicu dalam verifikasi sertifikat X.509 yang dapat menyebabkan error yang akan mengakibatkan denial of service. Agar dapat dieksploitasi, kerentanan ini mengharuskan CA untuk menandatangani sertifikat berbahaya, atau agar aplikasi dapat melanjutkan verifikasi sertifikat meskipun gagal membuat jalur ke penerbit tepercaya. |
Sedang |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2022-025
Dipublikasikan: 21-12-2022
Diperbarui: 19-01-2023, 21-12-2023
Referensi: CVE-2022-2602
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
GKE
Diperbarui: 19-01-2023
Deskripsi | Tingkat keparahan |
---|---|
Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, juga terdampak. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer. Versi 1.11, 1.12, dan 1.13 GKE di VMware terpengaruh. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer. Apa yang harus saya lakukan?GKE versi saat ini dan generasi sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer. Apa yang harus saya lakukan?Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring pada kernel Linux yang dapat memungkinkan penyerang untuk berpotensi mengeksekusi kode arbitrer. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2022-024
Dipublikasikan: 09-11-2022
Diperbarui: 19-01-2023
Referensi: CVE-2022-2585, CVE-2022-2588
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
Update 16-12-2022: Menambahkan versi patch yang direvisi untuk GKE dan
GKE di VMware.
GKE
Diperbarui: 19-01-2023
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Cluster GKE, termasuk cluster Autopilot, juga terdampak. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Pembaruan 16-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:
Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia. Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on VMware
Diperbarui: 16-12-2022
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Versi 1.13, 1.12, dan 1.11 dari GKE di VMware terpengaruh. Apa yang harus saya lakukan?Update 16-12-2022: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE pada versi VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Versi Kubernetes berikut di AWS mungkin terpengaruh:
Kubernetes V1.24 tidak terpengaruh. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus. Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Versi Kubernetes berikut di Azure mungkin terpengaruh:
Kubernetes V1.24 tidak terpengaruh. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus. Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2022-023
Dipublikasikan: 04-11-2022
Referensi: CVE-2022-39278
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol. Apa yang harus saya lakukan?Google Kubernetes Engine (GKE) tidak dilengkapi dengan Istio dan tidak terpengaruh oleh kerentanan ini. Namun, jika Anda telah menginstal Cloud Service Mesh atau Istio secara terpisah di cluster GKE Anda, lihat GCP-2022-020, buletin keamanan Cloud Service Mesh mengenai CVE ini, untuk mengetahui informasi selengkapnya. |
Tidak ada |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan dalam Cloud Service Mesh pada GKE pada VMware, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu GKE pada versi VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh pada GKE pada Bare Metal, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio. Apa yang harus saya lakukan?Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster ke salah satu GKE berikut pada versi Bare Metal:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, |
Tinggi |
GCP-2022-022-updated
Dipublikasikan: 08-12-2022
Referensi: CVE-2022-20409
GKE
Diperbarui: 14-12-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Cluster Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 93 dan 97 akan terkena dampak. Versi GKE lain yang didukung tidak akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 14-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:
Versi GKE berikut yang menggunakan Container-Optimized OS versi 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow pada subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on VMware
Diperbarui: 14-12-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Apa yang harus saya lakukan?Update 14-12-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow pada subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa melakukan eskalasi ke hak istimewa eksekusi sistem. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow pada subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin mengeksekusi kode arbitrer. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa melakukan eskalasi ke hak istimewa eksekusi sistem. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow pada subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin mengeksekusi kode arbitrer. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Apa yang harus saya lakukan?
|
Tidak ada |
GCP-2022-021
Dipublikasikan: 27-10-2022
Diperbarui: 19-01-2023, 21-12-2023
Referensi: CVE-2022-3176
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
Update 15-12-2022: Informasi terbaru bahwa Google Kubernetes Engine versi 1.21.14-gke.9400
menunggu peluncuran dan dapat digantikan oleh nomor versi yang lebih tinggi.
Update 21-11-2022: Menambahkan versi patch untuk
GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 19-01-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh ke root pada node. Info Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster Google Kubernetes Engine (GKE) v1.21, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 89 akan terpengaruh. Versi GKE berikutnya tidak terpengaruh. Semua cluster Linux dengan Ubuntu akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Update 15-12-2022: Versi 1.21.14-gke.9400 menunggu peluncuran dan dapat digantikan oleh nomor versi yang lebih tinggi. Kami akan memperbarui dokumen ini saat versi baru tersebut tersedia. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses. |
Tinggi |
GKE on VMware
Diperbarui: 21-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?
Update 2022-11-21: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:
Versi GKE di VMware yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses. |
Tinggi |
GKE on AWS
Diperbarui: 21-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?Update 21-11-2022: Versi GKE generasi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS: Generasi saat ini
Versi GKE di AWS yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di versi AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses. |
Tinggi |
GKE on Azure
Diperbarui: 21-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?Update 21-11-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:
Versi GKE di Azure yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-018
Dipublikasikan: 01-08-2022
Diperbarui: 14-09-2022, 21-12-2023
Referensi: CVE-2022-2327
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node. Detail teknisInfo Terbaru 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi informasi ini tidak benar. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS (COS) yang menggunakan Linux Kernel versi 5.10 akan terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Upgrade cluster GKE Anda ke versi yang menyertakan perbaikan.
Image node Linux untuk COS telah diupdate beserta versi GKE
menggunakan versi COS tersebut.
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang Anda pilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux versi 5.10 memiliki kerentanan pada subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (flag). Penggunaan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi akses ke root. |
Tinggi |
GKE on VMware
Diperbarui: 14-09-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node. Cluster dengan image Container Optimized OS (COS) yang menggunakan GKE pada VMware versi 1.10, 1.11, dan 1.12 akan terpengaruh. Apa yang harus saya lakukan?Update 14-09-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini.
Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux versi 5.10 memiliki kerentanan pada subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (flag). Penggunaan permintaan ini tanpa menentukan jenis item yang tepat dapat menyebabkan eskalasi akses ke root. |
Tinggi |
GKE on AWS
Diperbarui: 14-09-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?Update 14-09-2022: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS: Generasi saat ini
Generasi sebelumnya
Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di AWS versi tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux versi 5.10 memiliki kerentanan pada subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (flag). Penggunaan permintaan ini tanpa menentukan jenis item yang tepat dapat menyebabkan eskalasi akses ke root. |
Tinggi |
GKE on Azure
Diperbarui: 14-09-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?Update 14-09-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:
Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux versi 5.10 memiliki kerentanan pada subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (flag). Penggunaan permintaan ini tanpa menentukan jenis item yang tepat dapat menyebabkan eskalasi akses ke root. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-017
Dipublikasikan: 29-06-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-1786
Update 22-11-2022: Informasi terbaru tentang workload menggunakan GKE Sandbox.
Info Terbaru 2022-07-21: Informasi terbaru bahwa GKE pada image COS VMware
terpengaruh.
GKE
Diperbarui: 22-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 2022-11-22: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Hanya cluster yang menjalankan Container-Optimized OS yang akan terpengaruh. Versi GKE Ubuntu menggunakan kernel versi 5.4 atau 5.15 dan tidak terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk Container-Optimized OS bagi versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE mendatang berikut:
Fitur saluran rilis terbaru memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari saluran. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-1786, cacat use-after-free ditemukan dalam subsistem io_uring kernel Linux. Jika pengguna menyiapkan lingkaran dengan IORING_SETUP_IOPOLL dengan lebih dari satu tugas menyelesaikan pengiriman pada lingkaran, pengguna lokal dapat mengalami error atau mengeskalasikan hak istimewanya di sistem. |
Tinggi |
GKE on VMware
Diperbarui: 14-07-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Apa yang harus saya lakukan?Update 21-07-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini. COS
UbuntuAnda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-016
Dipublikasikan: 23-06-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
Update 22-11-2022 berjalan di cluster Autopilot:
Info Terbaru 2022-07-29: Versi terbaru untuk GKE di VMware,
GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 22-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Pembaruan 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116. Update 29-07-2022: Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Semua cluster Linux (OS yang Dioptimalkan untuk Container dan Ubuntu) akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk Container-Optimized OS dan Ubuntu untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root. |
Tinggi |
GKE on VMware
Diperbarui: 29-07-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 29-07-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini.
Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi GKE pada VMware v1.9 dan yang lebih baru untuk image Container-Optimized OS dan Ubuntu. Apa yang harus saya lakukan?Versi GKE pada VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root. |
Tinggi |
GKE on AWS
Diperbarui: 29-07-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 29-07-2022: Pembaruan: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS: Generasi saat ini:
Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi semua versi GKE di AWS. Apa yang harus saya lakukan?Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di versi AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Update 29-07-2022: Update: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:
Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi semua versi GKE di Azure. Apa yang harus saya lakukan?Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-014
Dipublikasikan: 26-04-2022
Diperbarui: 22-11-2022
Update 22-11-2022: Menambahkan informasi tentang workload yang berjalan di cluster Autopilot.
Update 12-05-2022: Versi patch yang diupdate untuk GKE di AWS dan GKE di Azure.
Referensi: CVE-2022-1055, CVE-2022-27666
GKE
Diperbarui: 22-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 2022-11-22: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh oleh kerentanan ini. Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE mendatang berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. GKE pada versi VMware berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on AWS
Diperbarui: 12-05-2022
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE generasi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS: Generasi saat ini
Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on Azure
Diperbarui: 12-05-2022
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:
Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-1055 dan CVE-2022-27666. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2022-013
Dipublikasikan: 11-04-2022
Diperbarui: 20-04-2022
Referensi: CVE-2022-23648
Update 22-04-2022: Versi patch Google Distributed Cloud Virtual untuk Bare Metal dan GKE di VMware.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu) yang menggunakan container secara default. Semua node GKE, Autopilot, dan GKE Sandbox akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual node Anda ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu. |
Sedang |
GKE on VMware
Diperbarui: 22-04-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua GKE di VMware yang mengaktifkan stackdriver, yang menggunakan containerd. GKE pada VMware versi 1.8, 1.9, dan 1.10 terpengaruh Apa yang harus saya lakukan?Update 22-04-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.
Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE pada versi AWS terpengaruh. Apa yang harus saya lakukan?Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS. GKE di AWS (generasi saat ini)
GKE di AWS (generasi sebelumnya)
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE di versi Azure terpengaruh. Apa yang harus saya lakukan?Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda sebagai berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
Google Distributed Cloud Virtual untuk Bare Metal
Diperbarui: 22-04-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua Google Distributed Cloud Virtual for Bare Metal yang menggunakan container. Google Distributed Cloud Virtual untuk Bare Metal versi 1.8, 1.9, dan 1.10 akan terpengaruh Apa yang harus saya lakukan?Update 22-04-2022: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut berisi kode yang memperbaiki kerentanan ini.
Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GCP-2022-012
Dipublikasikan: 07-04-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-0847
Update 22-11-2022: Informasi terbaru tentang workload menggunakan GKE Sandbox.
GKE
Diperbarui: 22-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 2022-11-22: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa container ke root. Kerentanan ini memengaruhi semua node pool GKE versi v1.22 dan yang lebih baru yang menggunakan image OS yang Dioptimalkan untuk Container (Container-Optimized OS 93 dan yang lebih baru). Kumpulan node GKE yang menggunakan OS Ubuntu tidak terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan versi patch dari saluran rilis lainnya tanpa harus berhenti berlangganan dari sebuah saluran. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flag" dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka. Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke GKE versi node pool yang telah diupdate. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi GKE di VMware v1.10 untuk image OS yang Dioptimalkan untuk Container. Saat ini, GKE di VMware dengan Ubuntu menggunakan kernel versi 5.4 dan tidak rentan terhadap serangan ini. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke versi GKE pada VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flag" dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka. Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi terbaru GKE di VMware. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster GKE terkelola pada AWS v1.21 dan cluster yang berjalan di GKE pada AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk GKE terkelola di AWS, sebaiknya Anda mengupgrade cluster pengguna dan node pool ke salah satu versi berikut:
Untuk GKE k-lite di AWS, sebaiknya upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool ke versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flag" dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster GKE terkelola di Azure v1.21 yang menggunakan Ubuntu. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade cluster pengguna dan node pool ke versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flag" dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-0847. |
Tinggi |
GCP-2022-011
Dipublikasikan: 22-03-2022
Diperbarui: 11-08-2022
Update 11-08-2022: Menambahkan detail lebih lanjut tentang efek kesalahan konfigurasi SMT.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Simultaneous Multi-Threading (SMT). SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum. Jika Anda mengaktifkan SMT secara manual untuk kumpulan node dengan sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini. Ada kesalahan konfigurasi dengan Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Kesalahan konfigurasi membuat node berpotensi terkena serangan saluran samping seperti Microarchitectural Data Sampling (MDS) (untuk konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:
Jika Anda mengaktifkan SMT untuk kumpulan node secara manual, masalah ini tidak akan memengaruhi node yang di-sandbox. Apa yang harus saya lakukan?Upgrade node Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Node GKE Sandbox menonaktifkan SMT secara default, sehingga memitigasi serangan side-channel. |
Sedang |
GCP-2022-009
Dipublikasikan: 01-03-2022
Diperbarui: 15-03-2022
GKE
Deskripsi | Tingkat keparahan |
---|---|
Update 15-03-2022: Penambahan panduan hardening untuk GKE pada AWS dan GKE di Azure. Menambahkan bagian tentang persistensi menggunakan webhook. Beberapa jalur tak terduga untuk mengakses VM node pada cluster Autopilot GKE dapat digunakan untuk mengeskalasikan hak istimewa di cluster. Masalah ini telah diperbaiki dan tidak perlu tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami. Pengguna cluster GKE Standard dan GKE dapat secara opsional menerapkan kebijakan hardening yang serupa seperti yang dijelaskan di bawah ini. Detail teknisAkses host menggunakan pengecualian kebijakan pihak ketigaAgar Google Cloud dapat menawarkan pengelolaan node secara penuh, dan SLA level Pod, GKE Autopilot membatasi beberapa primitif Kubernetes dengan hak istimewa tinggi untuk membatasi workload agar tidak memiliki akses level rendah ke VM node. Untuk menetapkan hal ini dalam konteks: GKE Standard memberikan akses penuh ke komputasi yang mendasarinya, Autopilot memberikan akses terbatas, dan Cloud Run tidak memberikan akses. Autopilot memberikan sedikit batasan terkait daftar alat pihak ketiga yang telah ditetapkan untuk memungkinkan pelanggan menjalankan alat tersebut dengan Autopilot tanpa modifikasi. Dengan menggunakan hak istimewa untuk membuat pod dengan penyangga jalur host, peneliti dapat menjalankan container dengan hak istimewa di pod yang terlihat seperti salah satu alat pihak ketiga yang telah masuk daftar yang diizinkan ini untuk mendapatkan akses ke host. Kemampuan untuk menjadwalkan pod dengan cara ini diharapkan ada di GKE Standard, tetapi tidak pada GKE Autopilot, karena cara ini mengabaikan pembatasan akses host yang digunakan untuk mengaktifkan SLA yang dijelaskan sebelumnya. Masalah ini telah diperbaiki dengan memperketat spesifikasi pod listingan yang diizinkan pihak ketiga. Eskalasi akses dari root-di-nodeSelain akses host, pod Kami telah menghentikan penggunaan dan menghapus Sebagai tindakan hardening sistem untuk mencegah jenis serangan ini di masa mendatang, kami akan menerapkan batasan Autopilot dalam rilis mendatang yang mencegah update pada akun layanan berbagai objek di namespace
Penambahan 15-03-2022: Persistensi menggunakan webhook bermutasiWebhook yang bermutasi digunakan dalam laporan ini untuk mendapatkan hak istimewa di cluster pasca-penyusupan. Bagian ini adalah bagian standar dari Kubernetes API yang dibuat oleh admin cluster, dan terlihat oleh administrator saat Autopilot menambahkan dukungan untuk webhook yang ditentukan pelanggan. Akun layanan dengan hak istimewa di namespace defaultPenegak kebijakan Autopilot sebelumnya telah mengizinkan dua akun layanan di namespace default: Apa yang harus saya lakukan?Kebijakan pada semua cluster Autopilot GKE telah diperbarui untuk menghapus akses host yang tidak diinginkan dan Anda tidak perlu melakukan tindakan lebih lanjut. Hardening kebijakan lebih lanjut akan diterapkan pada Autopilot dalam beberapa minggu mendatang sebagai perlindungan sekunder. Anda tidak perlu melakukan tindakan apa pun. Cluster GKE Standard dan cluster GKE tidak terpengaruh karena pengguna sudah memiliki akses ke host. Sebagai tindakan hardening sistem, cluster GKE Standard dan pengguna cluster GKE dapat menerapkan perlindungan serupa dengan kebijakan Gatekeeper yang mencegah modifikasi mandiri workload dengan hak istimewa. Untuk petunjuk, lihat panduan hardening berikut:
|
Rendah |
GCP-2022-008
Dipublikasikan: 2022-02-2023
Diperbarui: 28-04-2022
Referensi:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656
GKE
Deskripsi | Tingkat keparahan |
---|---|
Project Envoy baru-baru ini menemukan serangkaian kerentanan {i>CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824, {i>cloud<i}{/05-2021-43824{i>,
CVE-2021-43825, CVE-2021-43824,CVE-2022-21654CVE-2022-21657CVE-2022-21656 Semua masalah yang tercantum di bawah telah diperbaiki dalam rilis Envoy 1.21.1. Latar Belakang Teknis Detail tambahan untuk kerentanan ini tersedia di sini. Apa yang harus saya lakukan?Cluster GKE yang menjalankan Anthos Service Mesh harus diupgrade ke versi yang didukung dengan perbaikan untuk kerentanan di atas
Cluster GKE yang menjalankan Istio-on-GKE harus diupgrade ke versi yang didukung dengan perbaikan kerentanan di atas
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
GKE on VMware
Diperbarui: 28-04-2022
Deskripsi | Tingkat keparahan |
---|---|
Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. GKE pada VMware terpengaruh karena Envoy digunakan dengan server metrik. CVE Envoy yang kami perbaiki tercantum di bawah ini. Kami akan memperbarui
buletin ini dengan versi tertentu saat tersedia:
Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos di VMware terkena dampak karena Istio digunakan untuk traffic masuk. Istio CVE yang sedang kami perbaiki tercantum di bawah. Kami akan memperbarui buletin ini dengan versi tertentu jika tersedia: CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istio mengalami error saat menerima permintaan dengan header `otorisasi` yang dibuat khusus.Untuk mengetahui deskripsi dan dampak lengkap dari CVE di atas, lihat buletin keamanan. 28-04-2022 Penambahan: Apa yang harus saya lakukan?Versi GKE pada VMware berikut dapat memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. Anthos di Bare metal terkena dampak karena Envoy digunakan untuk server metrik.
CVE Envoy yang kami perbaiki di rilis 1.10.3, 1.9.6, dan 1.8.9 tercantum di bawah ini:
Untuk mengetahui deskripsi lengkap dan dampak dari CVE di atas, lihat buletin keamanan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
GCP-2022-006
Dipublikasikan: 14-02-2022
Diperbarui: 16-05-2022
Update 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini.
Update 2022-05-2022: Versi patch terbaru untuk GKE,
Google Distributed Cloud Virtual untuk Bare Metal, GKE on VMware, dan GKE di AWS.
Memperbaiki masalah buletin keamanan untuk GKE di AWS yang tidak ditampilkan saat ditambahkan pada 23-02-2022.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi Apa yang harus saya lakukan?Update 16-05-2022: Selain versi GKE yang disebutkan dalam update 12-05-2022, GKE versi 1.19.16-gke.7800 atau yang lebih baru juga berisi kode yang memperbaiki kerentanan ini. Update 12-05-2022: Versi GKE berikut berisi kode yang memperbaiki kerentanan ini:
Pembaruan 15-02-2022: Pernyataan gVisor yang dikoreksi. Kerentanan ini ditemukan dalam
Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki kerentanan ini. COS
Kerentanan ini ditemukan dalam cgroup_release_agent_write kernel Linux dalam fungsi kernel/cgroup/cgroup-v1.c dan dapat digunakan sebagai pengelompokan container. GKE di VMware tidak terpengaruh karena adanya perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan pembatasan keamanan pada pod melalui modifikasi pada kolom Pod atau container securityContext, misalnya dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE saat ini dan sebelumnya di AWS berisi kode yang memperbaiki kerentanan ini: Generasi saat ini
Pembaruan 23-02-2022: Penambahan catatan untuk GKE di AWS. GKE di AWS generasi sebelumnya dan saat ini tidak terpengaruh karena adanya perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan pembatasan keamanan pada pod melalui modifikasi kolom Pod atau container securityContext, misalnya dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GKE Enterprise di
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE di Azure berikut berisi kode yang memperbaiki kerentanan ini:
GKE di Azure tidak terpengaruh karena adanya perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan pembatasan keamanan pada pod melalui modifikasi kolom Pod atau container securityContext, misalnya dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GCP-2022-005
Dipublikasikan: 11-02-2022Diperbarui: 15-02-2022
Referensi: CVE-2021-43527
GKE
Deskripsi | Tingkat keparahan |
---|---|
Update 15-02-2022: Beberapa versi GKE yang disebutkan dalam buletin
aslinya digabungkan dengan perbaikan lainnya dan memiliki nomor versinya yang bertambah sebelum dirilis. Patch tersedia dalam versi GKE
berikut:
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang tertaut ke versi rentan libnss3 yang ditemukan di NSS (Network Security Services) versi sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Baik GKE COS maupun image Ubuntu memiliki versi rentan yang terinstal, dan perlu di-patch. CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS lainnya, X.509, OCSP, atau CRL dapat terpengaruh. Dampak bergantung pada cara NSS digunakan/dikonfigurasi. GKE tidak menggunakan libnss3 untuk API yang dapat diakses melalui Internet. Dampaknya terbatas pada kode pada-host yang berjalan di luar container, dan kecil karena desain Chrome OS yang minimal. Kode GKE yang berjalan di dalam container menggunakan image dasar tanpa distro golang tidak akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang tertaut ke versi rentan libnss3 yang ditemukan di NSS (Network Security Services) versi sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara aplikasi mengonfigurasi NSS. Baik GKE pada image VMware COS maupun Ubuntu memiliki versi rentan terinstal, dan perlu di-patch. Berpotensi, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS \#7, atau PKCS \#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS lainnya, X.509, OCSP, atau CRL dapat terpengaruh. Dampak bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Anthos di VMware tidak menggunakan libnss3 untuk API yang dapat diakses publik sehingga dampaknya terbatas. Selain itu, tingkat keparahan CVE untuk GKE di VMware ini dinilai Sedang. Apa yang harus saya lakukan?Versi image node Linux untuk versi Anthos berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi Anthos berikut:
Apakah Anda menggunakan GKE pada VMware versi yang lebih lama dari 1.18? Anda menggunakan versi Anthos dari SLA dan harus mempertimbangkan untuk melakukan upgrade ke salah satu versi yang didukung. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
GKE Enterprise di
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang tertaut ke versi rentan libnss3 yang ditemukan di NSS (Network Security Services) versi sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Cluster Anthos pada image Azure Ubuntu memiliki versi rentan yang terinstal, dan perlu di-patch. Berpotensi, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS lainnya, X.509, OCSP, atau CRL dapat terpengaruh. Dampak bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Cluster Anthos di Azure tidak menggunakan libnss3 untuk API yang dapat diakses secara publik. Oleh karena itu, dampaknya terbatas dan tingkat keparahan CVE untuk Anthos di Azure ini dinilai sebagai Medium. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi Anthos di Azure berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
GCP-2022-004
Dipublikasikan: 04-02-2022Referensi: CVE-2021-4034
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Apa yang harus saya lakukan?GKE tidak terpengaruh karena modul rentan, policykit-1, tidak diinstal di image COS atau Ubuntu yang digunakan di GKE. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Konfigurasi default GKE Enterprise telah memberi pengguna hak istimewa "sudo" penuh, sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada Detail teknisAgar bug ini dapat dieksploitasi, penyerang membutuhkan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di VMware menyertakan versi policykit-1 pada image rilisnya, konfigurasi default GKE Enterprise mengizinkan sudo tanpa sandi bagi siapa saja yang memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada VMware tidak terpengaruh. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
GKE di AWS tidak terpengaruh. Modul rentan, policykit-1, tidak diinstal di image Ubuntu yang digunakan oleh GKE versi saat ini dan sebelumnya di AWS. | Tidak ada |
GKE Enterprise di
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Konfigurasi default GKE Enterprise telah memberi pengguna hak istimewa "sudo" penuh, sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada Detail teknisAgar bug ini dapat dieksploitasi, penyerang membutuhkan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di Azure menyertakan versi policykit-1 pada image rilisnya, konfigurasi default GKE Enterprise mengizinkan sudo tanpa sandi untuk siapa saja yang memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak terpengaruh. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Google Distributed Cloud Virtual untuk Bare Metal mungkin terpengaruh bergantung pada paket yang diinstal di sistem operasi yang dikelola pelanggan. Pindai image OS Anda dan patch jika perlu. | Tidak ada |
GCP-2022-002
Dipublikasikan: 01-02-2022Diperbarui: 07-03-2022
Referensi: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
04-02-2022 di Azure AWS: Menambahkan bagian di GKE 04-02-2022. Menambahkan update peluncuran untuk GKE dan GKE pada VMware.
GKE
Diperbarui: 07-03-2022
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux. Setiap kerentanan tersebut dapat menyebabkan gangguan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan escape container ke node host. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan pemecahan container. Jalur eksploitasi untuk kerentanan ini yang bergantung pada syscall "unshare" diblokir di cluster GKE Autopilot secara default menggunakan pemfilteran seccomp. Pengguna yang mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi. Apa yang harus saya lakukan?Update 07-03-2022: Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki semua kerentanan ini, baik untuk image Ubuntu maupun COS. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut.
Update 2022-02-25:Jika Anda menggunakan image node Ubuntu, 1.22.6-gke.1000 tidak menangani CVE-2021-22600. Kami akan memperbarui buletin ini dengan versi patch Ubuntu saat tersedia. Update 23-02-2022: Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.
Update 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari. Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.
Versi 1.22 dan 1.23 juga sedang dalam proses. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Diperbarui: 23-02-2022
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux. Setiap kerentanan tersebut dapat menyebabkan gangguan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan escape container ke node host. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan pemecahan container. Pengguna yang mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi. Apa yang harus saya lakukan?Update 23-02-2022: versi 1.10.2 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185) kini dijadwalkan untuk 1 Maret. Update 23-02-2022: Menambahkan versi yang di-patch untuk CVE-2021-2260. Versi 1.10.1 tidak mengatasi CVE-2021-22600, tetapi mengatasi kerentanan lainnya. Versi 1.9.4 dan 1.10.2, keduanya belum dirilis, akan menangani CVE-2021-22600. Versi image node Linux untuk versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE pada VMware berikut:
Update 04-02-2022: Menambahkan informasi tentang image Ubuntu yang tidak menangani CVE-2021-22600. Versi image node Linux untuk versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu GKE pada versi VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux. Setiap kerentanan tersebut dapat menyebabkan gangguan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan escape container ke node host. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan pemecahan container. Pengguna yang mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi. Apa yang harus saya lakukan?GKE on AWSVersi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke GKE berikut di versi AWS:
GKE di AWS (generasi sebelumnya)Versi image node Linux untuk versi GKE berikut di AWS (generasi sebelumnya) telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut di AWS (generasi sebelumnya):
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE Enterprise di
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux. Setiap kerentanan tersebut dapat menyebabkan gangguan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan escape container ke node host. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan pemecahan container. Pengguna yang mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi GKE berikut di Azure:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2021-024
Dipublikasikan: 21-10-2021Referensi: CVE-2021-25742
GKE
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise apa pun. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise apa pun. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise apa pun. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise apa pun. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
GCP-2021-019
Dipublikasikan: 29-09-2021GKE
Deskripsi | Tingkat keparahan |
---|---|
Ada masalah umum saat memperbarui resource Apakah saya terpengaruh?Jika kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Masalah ini memengaruhi versi GKE berikut:
Jika Anda tidak mengonfigurasi Google Cloud Armor pada resource Ingress melalui Apa yang harus saya lakukan?Upgrade bidang kontrol GKE Anda ke salah satu versi terupdate berikut yang
mem-patch masalah ini dan memungkinkan resource
Masalah ini juga dapat dicegah dengan menghindari deployment resource Untuk mencegah masalah ini, hanya buat perubahan pada Karena Contoh manifes berikut menjelaskan resource apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Jika Anda memiliki sistem atau alat CI/CD yang memperbarui resource |
Rendah |
GCP-2021-022
Dipublikasikan: 23-09-2021Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan telah ditemukan di modul LDAP GKE Enterprise Identity Service (AIS) GKE pada VMware versi 1.8 dan 1.8.1, di mana kunci seed yang digunakan dalam pembuatan kunci dapat diprediksi. Dengan kerentanan ini, pengguna terautentikasi dapat menambahkan klaim arbitrer dan mengeskalasikan hak istimewa tanpa batas. Detail teknisPenambahan terbaru ke kode AIS membuat kunci simetris menggunakan modul matematika/rand golang, yang tidak cocok untuk kode yang sensitif terhadap keamanan. Modul ini digunakan sedemikian rupa sehingga akan menghasilkan kunci yang dapat diprediksi. Selama verifikasi identitas, kunci layanan token aman (STS) dibuat, lalu dienkripsi dengan kunci simetris yang mudah diperoleh. Apa yang harus saya lakukan?Kerentanan ini hanya memengaruhi pelanggan yang menggunakan AIS di GKE pada VMware versi 1.8 dan 1.8.1. Untuk pengguna GKE di VMware 1.8, upgrade cluster Anda ke versi berikut:
|
Tinggi |
GCP-2021-021
Dipublikasikan: 22-09-2021Referensi: CVE-2020-8561
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang mengontrol respons permintaan
Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut untuk melindungi dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang mengontrol respons permintaan
Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut untuk melindungi dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang mengontrol respons permintaan
Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut untuk melindungi dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang mengontrol respons permintaan
Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut untuk melindungi dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
GCP-2021-018
Dipublikasikan: 15-09-2021Diperbarui: 24-09-2021
Referensi: CVE-2021-25741
Update 24-09-2021: GKE pada buletin Bare Metal diupdate dengan versi tambahan yang di-patch.
Update 20-09-2021: Buletin ditambahkan untuk GKE pada Bare Metal
Update 16-09-2021: Buletin ditambahkan untuk GKE pada VMware
GKE
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741. Di sini, pengguna mungkin dapat membuat container dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.Apa yang harus saya lakukan?Sebaiknya upgrade kumpulan node ke salah satu versi berikut atau yang lebih baru untuk memanfaatkan patch terbaru:
Versi berikut juga berisi perbaikan:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741. Di sini, pengguna mungkin dapat membuat container dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.Apa yang harus saya lakukan?Diperbarui 24-09-2021: Versi 1.8.3 dan 1.7.4 yang di-patch kini tersedia. Diperbarui 17-09-2021: Mengoreksi daftar versi yang tersedia yang berisi patch. Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741. Di sini, pengguna mungkin dapat membuat container dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.Apa yang harus saya lakukan?Update 16-9-2021: Menambahkan daftar versi gke yang didukung untuk objek Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741. Di sini, pengguna mungkin dapat membuat container dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.Apa yang harus saya lakukan?Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:
|
Tinggi |
GCP-2021-017
Dipublikasikan: 01-09-2021Diperbarui: 23-09-2021
Referensi: CVE-2021-33909
CVE-2021-33910
GKE
Deskripsi | Tingkat keparahan |
---|---|
2021-09-23 update:Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini terhadap serangan yang berasal dari dalam container. 2021-09-15 pembaruan:Versi GKE berikut mengatasi kerentanan:
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Dalam CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, operasi Tulis yang Tidak Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Dalam CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, operasi Tulis yang Tidak Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux untuk GKE di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Dalam CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, operasi Tulis yang Tidak Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux dan COS untuk GKE di VMware telah diupdate dengan kode
untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
GCP-2021-015
Dipublikasikan: 13-07-2021Diperbarui: 15-07-2021
Referensi: CVE-2021-22555
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan, di mana pelaku kejahatan dengan hak istimewa Detail teknis
Dalam serangan ini, penulisan di luar batas dalam Apa yang harus saya lakukan?Versi Linux di GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan, di mana pelaku kejahatan dengan hak istimewa Detail teknis
Dalam serangan ini, penulisan di luar batas dalam Apa yang harus saya lakukan?Versi Linux di GKE pada VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2021-014
Dipublikasikan: 05-07-2021Referensi: CVE-2021-34527
GKE
Deskripsi | Tingkat keparahan |
---|---|
Microsoft memublikasikan buletin keamanan tentang kerentanan Eksekusi Kode Jarak Jauh (RCE), CVE-2021-34527, yang memengaruhi spooler cetak di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan update tentang kerentanan terkait, yang dijuluki "PrintNightmare" yang juga memengaruhi spooler cetak Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Sebagai bagian dari image dasar, node GKE Windows tidak memuat layanan Spooler yang terpengaruh, sehingga deployment GKE Windows tidak rentan terhadap serangan ini. Kerentanan apa yang diatasi oleh buletin ini?
|
Tinggi |
GCP-2021-012
Dipublikasikan: 01-07-2021Diperbarui: 09-07-2021
Referensi: CVE-2021-34824
GKE
Deskripsi | Tingkat keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod. Apa yang harus saya lakukan?Cluster GKE tidak menjalankan Istio secara default dan, saat diaktifkan, menggunakan Istio versi 1.6, yang tidak rentan terhadap serangan ini. Jika Anda telah menginstal atau mengupgrade Istio di cluster ke Istio 1.8 atau yang lebih baru, upgrade Istio ke versi terbaru yang didukung. |
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod. Apa yang harus saya lakukan?Cluster Anthos di VMware v1.6 dan v1.7 tidak rentan terhadap serangan ini. Cluster Anthos di VMware v1.8 rentan. Jika Anda menggunakan cluster Anthos di VMware v1.8, upgrade ke versi yang di-patch berikut atau yang lebih baru:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod. Cluster yang dibuat atau diupgrade dengan cluster Anthos di bare metal v1.8.0 akan terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anthos v1.6 dan 1.7 tidak rentan terhadap serangan ini. Jika Anda memiliki cluster v1.8.0, download dan instal bmctl versi 1.8.1 dan upgrade cluster Anda ke versi yang di-patch berikut:
|
Tinggi |
GCP-2021-011
Dipublikasikan: 04-06-2021Diperbarui: 19-10-2021
Referensi: CVE-2021-30465
Update 2021-10-19: Penambahan buletin untuk GKE di VMware, GKE di AWS, dan GKE di Bare Metal.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di Untuk GKE, karena pemanfaatan kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai tingkat keparahan kerentanan ini di MEDIUM. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya memiliki mount volume yang sama dengan symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Terdapat patch yang baru dirilis untuk Upgrade cluster GKE Anda ke salah satu versi terbaru berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di Untuk GKE di VMware, karena pemanfaatan kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah memberi rating tingkat keparahan kerentanan ini di MEDIUM. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya memiliki mount volume yang sama dengan symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Ada patch yang baru dirilis untuk
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di Karena ini adalah kerentanan tingkat OS, GKE di AWS tidak rentan. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya memiliki mount volume yang sama dengan symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Pastikan versi OS tempat Anda menjalankan GKE di AWS diupgrade ke versi OS terbaru yang memiliki paketrunc yang telah diupdate.
|
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di Karena ini adalah kerentanan tingkat OS, GKE pada Bare Metal tidak rentan. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya memiliki mount volume yang sama dengan symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?
Pastikan versi OS tempat Anda menjalankan Google Distributed Cloud Virtual for Bare Metal diupgrade ke versi OS terbaru yang memiliki paket |
Tidak ada |
GCP-2021-006
Dipublikasikan: 11-05-2021Referensi: CVE-2021-31920
GKE
Deskripsi | Tingkat keparahan |
---|---|
Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh di mana permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio ketika aturan otorisasi berbasis jalur digunakan. Apa yang harus saya lakukan?Kami sangat menyarankan Anda untuk mengupdate dan mengonfigurasi ulang cluster GKE. Perlu diperhatikan bahwa penting untuk menyelesaikan kedua langkah di bawah ini agar berhasil mengatasi kerentanan:
|
Tinggi |
GCP-2021-004
Dipublikasikan: 06-05-2021Referensi: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Deskripsi | Tingkat keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy. Cluster GKE tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade bidang kontrol GKE Anda ke salah satu versi yang di-patch berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy. GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade GKE Anda di VMware ke salah satu versi yang di-patch berikut saat dirilis:
|
Sedang |
Cluster GKE aktif
Diperbarui: 06-05-2021
Deskripsi | Tingkat keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy. Google Distributed Cloud Virtual for Bare Metal menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Google Distributed Cloud Virtual untuk Bare Metal ke salah satu versi yang di-patch berikut saat dirilis:
|
Sedang |
GCP-2021-003
Dipublikasikan: 19-04-2021Referensi: CVE-2021-25735
GKE
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Penerimaan yang Memvalidasi. Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan saat menerapkan
Webhook Penerimaan yang Memvalidasi yang menggunakan properti objek Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster GKE Anda ke salah satu versi yang telah di-patch berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Penerimaan yang Memvalidasi. Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan saat menerapkan
Webhook Penerimaan yang Memvalidasi yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Penerimaan yang Memvalidasi. Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan saat menerapkan
Webhook Penerimaan yang Memvalidasi yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Penerimaan yang Memvalidasi. Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan saat menerapkan
Webhook Penerimaan yang Memvalidasi yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
GCP-2021-001
Dipublikasikan: 28-01-2021Referensi: CVE-2021-3156
GKE
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di utilitas Linux Cluster Google Kubernetes Engine (GKE) tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena cluster GKE tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. GKE akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di utilitas Linux GKE di VMware tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena GKE pada cluster VMware tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. GKE di VMware akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di utilitas Linux GKE di AWS tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena GKE di cluster AWS tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. GKE di AWS akan menerapkan patch untuk kerentanan ini pada rilis mendatang secara rutin. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di utilitas Linux Google Distributed Cloud Virtual untuk cluster Bare Metal tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena cluster Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. Google Distributed Cloud Virtual untuk Bare Metal akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin. |
Tidak ada |
GCP-2020-015
Dipublikasikan: 07-12-2020Diperbarui: 22-12-2021
Referensi: CVE-2020-8554
Update 22-12-2021: Menggunakan gcloud beta
, bukan perintah gcloud
.
Update 15-12-2021: Menambahkan mitigasi tambahan untuk GKE.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk menangkap traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes. Semua cluster Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya dalam versi mendatang untuk mengatasi kerentanan. Sementara itu, jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIP bukanlah fitur yang umum digunakan. Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:
Seperti disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan dengan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa tinggi dan komponen sistem yang diberi |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk menangkap traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes. Semua GKE di VMware terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya dalam versi mendatang untuk mengatasi kerentanan. Sementara itu, jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIP bukanlah fitur yang umum digunakan. Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:
Seperti disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan dengan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa tinggi dan komponen sistem yang diberi |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk menangkap traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes. Semua GKE di AWS terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya dalam versi mendatang untuk mengatasi kerentanan. Sementara itu, jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIP bukanlah fitur yang umum digunakan. Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:
Seperti disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan dengan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa tinggi dan komponen sistem yang diberi |
Sedang |
GCP-2020-014
Dipublikasikan: 20-10-2020Referensi: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Diperbarui: 20-10-2020
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Masalahnya adalah:
GKE tidak terpengaruh. Apa yang harus saya lakukan?Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE. |
Tidak ada |
Cluster GKE aktif
Diperbarui: 10-10-2020
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Masalahnya adalah:
GKE pada VMware tidak terpengaruh. Apa yang harus saya lakukan?Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE. |
Tidak ada |
Cluster GKE aktif
Diperbarui: 20-10-2020
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Masalahnya adalah:
GKE di AWS tidak terpengaruh. Apa yang harus saya lakukan?Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE. |
Tidak ada |
GCP-2020-012
Dipublikasikan: 14-09-2020Referensi: CVE-2020-14386
GKE
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container memperoleh hak istimewa root pada node host. Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade bidang kontrol, lalu node ke salah satu versi yang di-patch di bawah ini:
Eksploitasi kerentanan ini memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386, yang memungkinkan container dengan |
Tinggi |
Cluster GKE aktif
Diperbarui: 17-09-2020
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container memperoleh hak istimewa root pada node host. Semua node GKE pada VMware terpengaruh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi {gke_on_prem_name}} mendatang berikut akan berisi perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui jika sudah tersedia:
Eksploitasi kerentanan ini memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386, yang memungkinkan container dengan |
Tinggi |
Cluster GKE aktif
Diperbarui: 13-10-2020
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container memperoleh hak istimewa root pada node host. Semua node GKE pada AWS terpengaruh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade layanan pengelolaan dan cluster pengguna Anda ke versi yang di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut akan menyertakan perbaikan untuk kerentanan tersebut, dan buletin ini akan diperbarui jika sudah tersedia:
Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386, yang memungkinkan container dengan |
Tinggi |
GCP-2020-011
Dipublikasikan: 24-07-2020Referensi: CVE-2020-8558
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirimkan traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi. Untuk memanfaatkan kerentanan ini di cluster GKE, penyerang harus memiliki hak istimewa administrator jaringan di Google Cloud yang menghosting VPC cluster. Kerentanan ini saja tidak memberikan hak istimewa administrator jaringan bagi penyerang. Karena alasan tersebut, kerentanan ini telah ditetapkan dengan tingkat keparahan Rendah untuk GKE. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade node pool cluster Anda ke versi GKE berikut (dan yang lebih baru):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Rendah |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirimkan traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirimkan traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi. Pemanfaatan kerentanan ini di cluster pengguna mengharuskan penyerang menonaktifkan pemeriksaan tujuan sumber pada instance EC2 dalam cluster. Hal ini mengharuskan penyerang memiliki izin IAM AWS untuk Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang telah di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut diharapkan menyertakan perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Rendah |
GCP-2020-009
Dipublikasikan: 15-07-2020Referensi: CVE-2020-8559
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Oleh karena itu, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perlu diperhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini sendiri tidak akan membahayakan node mana pun di cluster Anda. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. Cluster akan diupgrade secara otomatis selama beberapa minggu ke depan, dan versi yang di-patch akan tersedia pada 19 Juli 2020 untuk jadwal upgrade manual yang dipercepat. Versi bidang kontrol GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberi penyerang node yang telah disusupi. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Oleh karena itu, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perlu diperhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini sendiri tidak akan membahayakan node mana pun di cluster Anda. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberi penyerang node yang telah disusupi. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Oleh karena itu, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perlu diperhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini sendiri tidak akan membahayakan node mana pun di cluster Anda. Apa yang harus saya lakukan?GKE di AWS GA (1.4.1, tersedia akhir Juli 2020) atau yang lebih baru menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download versi baru alat command line anthos-gke versi baru, lalu buat ulang cluster pengguna dan pengelolaan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberi penyerang node yang telah disusupi. |
Sedang |
GCP-2020-007
Dipublikasikan: 01-06-2020Referensi: CVE-2020-8555
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna resmi tertentu membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Sebagian besar cluster sudah menjalankan versi yang di-patch. Versi GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Cluster yang menggunakan saluran rilis sudah berada dalam versi bidang kontrol dengan mitigasi. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Hal ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi akibat berbagai tindakan hardening bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna resmi tertentu membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?GKE pada versi VMware berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jika Anda menggunakan versi sebelumnya, upgrade cluster yang ada ke versi yang berisi perbaikan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Hal ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi akibat berbagai tindakan hardening bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna resmi tertentu membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?GKE pada AWS v0.2.0 atau yang lebih baru sudah menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download versi baru alat command line anthos-gke dan buat ulang cluster pengguna dan pengelolaan Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Hal ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi akibat berbagai tindakan hardening bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
GCP-2020-006
Dipublikasikan: 01-06-2020Referensi: Masalah Kubernetes 91507
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa untuk mengalihkan traffic node ke container lain. Traffic TLS/SSH timbal balik, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan kami menyarankan Anda untuk mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Apa yang harus saya lakukan?Untuk mengurangi kerentanan ini, upgrade bidang kontrol Anda, kemudian node Anda ke salah satu versi yang di-patch yang tercantum di bawah ini. Cluster di saluran rilis sudah menjalankan versi yang di-patch pada bidang kontrol dan node:
Sangat sedikit penampung yang biasanya memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch mengurangi kerentanan berikut: Kerentanan yang dijelaskan dalam
Kubernetes masalah 91507
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa untuk mengalihkan traffic node ke container lain. Traffic TLS/SSH timbal balik, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Kerentanan ini memengaruhi semua node Google Kubernetes Engine (GKE), dan sebaiknya Anda melakukan upgrade ke patch versi terbaru, seperti penjelasan di bawah ini. Apa yang harus saya lakukan?Guna mengurangi kerentanan untuk GKE di VMware ini, upgrade cluster Anda ke versi berikut atau yang lebih baru:
Sangat sedikit penampung yang biasanya memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch mengurangi kerentanan berikut: Kerentanan yang dijelaskan dalam
Kubernetes masalah 91507
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa untuk mengalihkan traffic node ke container lain. Traffic TLS/SSH timbal balik, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Kerentanan ini memengaruhi semua node Google Kubernetes Engine (GKE), dan sebaiknya Anda melakukan upgrade ke patch versi terbaru, seperti penjelasan di bawah ini. Apa yang harus saya lakukan?Download alat command line anthos-gke dengan versi berikut atau yang lebih baru, dan buat ulang cluster pengelolaan dan pengguna Anda:
Sangat sedikit penampung yang biasanya memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch mengurangi kerentanan berikut: Kerentanan yang dijelaskan dalam
Kubernetes masalah 91507
|
Sedang |
GCP-2020-005
Dipublikasikan: 07-05-2020Diperbarui: 07-05-2020
Referensi: CVE-2020-8835
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru-baru ini ditemukan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan escape container untuk mendapatkan hak istimewa root pada node host. Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini, dan sebaiknya upgrade ke versi patch terbaru sesegera mungkin, seperti yang kami jelaskan di bawah ini. Node yang menjalankan Container-Optimized OS tidak akan terpengaruh. Node yang berjalan di GKE pada VMware tidak terpengaruh. Apa yang harus saya lakukan?Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node yang menjalankan Ubuntu di GKE versi 1.16 atau 1.17 yang terpengaruh. Untuk mengupgrade node, Anda harus terlebih dahulu mengupgrade master ke versi terbaru. Patch ini akan tersedia dalam Kubernetes 1.16.8-gke.12, 1.17.4-gke.10, dan rilis yang lebih baru. Lacak ketersediaan patch ini di catatan rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: CVE-2020-8835 menjelaskan kerentanan dalam kernel Linux versi 5.5.0 dan yang lebih baru yang memungkinkan container berbahaya (dengan interaksi pengguna minimal dalam bentuk exec) membaca dan menulis memori kernel sehingga mendapatkan eksekusi kode level root pada node host. Kerentanan ini dinilai sebagai kerentanan tingkat keparahan 'Tinggi'. |
Tinggi |
GCP-2020-004
Dipublikasikan: 07-05-2020Diperbarui: 07-05-2020
Referensi: CVE-2019-11254
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan setiap pengguna yang diberi otorisasi untuk membuat permintaan POST untuk mengeksekusi serangan Denial-of-Service jarak jauh pada server Kubernetes API. Kubernetes Product Security Committee (PSC) merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini. Anda dapat memitigasi kerentanan ini dengan membatasi klien mana yang memiliki akses jaringan ke server Kubernetes API Anda. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda untuk mem-patch versi yang berisi perbaikan untuk kerentanan ini segera setelah tersedia. Versi patch yang berisi perbaikan tercantum di bawah ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut: |
Sedang |
GCP-2020-003
Dipublikasikan: 31-03-2020Diperbarui: 31-03-2020
Referensi: CVE-2019-11254
GKE
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini, sebuah kerentanan ditemukan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan setiap pengguna yang diberi otorisasi untuk membuat permintaan POST untuk mengeksekusi serangan Denial-of-Service jarak jauh pada server Kubernetes API. Kubernetes Product Security Committee (PSC) merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini. Cluster GKE yang menggunakan Jaringan yang Diizinkan Master dan Cluster pribadi tanpa endpoint publik mengurangi kerentanan ini. Apa yang harus saya lakukan?Sebaiknya Anda mengupgrade cluster ke versi patch yang berisi perbaikan untuk kerentanan ini. Versi patch yang berisi perbaikan tercantum di bawah ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut: |
Sedang |
GCP-2020-002
Dipublikasikan: 23-03-2020Diperbarui: 23-03-2020
Referensi: CVE-2020-8551, CVE-2020-8552
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kubernetes telah mengungkapkan dua kerentanan denial of service, yang satu memengaruhi server API, dan satu lagi memengaruhi Kubelets. Untuk detail selengkapnya, lihat masalah Kubernetes: 89377 dan 89378. Apa yang harus saya lakukan?Semua pengguna GKE dilindungi dari CVE-2020-8551, kecuali jika pengguna yang tidak tepercaya dapat mengirim permintaan di dalam jaringan internal cluster. Penggunaan jaringan resmi master juga mengurangi dampak dari CVE-2020-8552. Kapan fitur ini akan di-patch?Patch untuk CVE-2020-8551 memerlukan upgrade node. Versi patch yang akan berisi mitigasi tercantum di bawah ini:
Patch untuk CVE-2020-8552 memerlukan upgrade master. Versi patch yang akan berisi mitigasi tercantum di bawah ini:
|
Sedang |
GCP-january_21_2020
Dipublikasikan: 21-01-2020Diperbarui: 24-01-2020
Referensi: CVE-2019-11254
GKE
Deskripsi | Tingkat keparahan |
---|---|
Update 24-01-2020: Proses pembuatan versi yang di-patch sudah berlangsung dan akan selesai paling lambat 25 Januari 2020. Microsoft telah mengungkapkan kerentanan pada Windows Crypto API dan validasi tanda tangan kurva eliptisnya. Untuk mengetahui informasi selengkapnya, lihat pengungkapan Microsoft. Apa yang sebaiknya saya lakukan? Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node yang menjalankan Windows Server yang terpengaruh. Untuk pelanggan yang menggunakan node Windows Server, node dan workload dalam container yang berjalan pada node tersebut harus diupdate menjadi versi yang di-patch untuk mengurangi kerentanan ini. Untuk memperbarui penampung: Bangun ulang container Anda menggunakan image container dasar terbaru Microsoft, dengan memilih tag servercore atau nanoserver dengan LastUpdated Time pada 14/1/2020 atau lebih baru. Untuk mengupdate node: Proses penyediaan versi yang di-patch sudah berlangsung dan akan selesai paling lambat tanggal 24 Januari 2020. Anda dapat menunggu hingga waktu tersebut dan melakukan upgrade node ke versi GKE yang di-patch atau Anda dapat menggunakan Windows Update untuk men-deploy patch Windows terbaru secara manual kapan saja. Versi patch yang akan berisi mitigasi tercantum di bawah ini:
Kerentanan apa yang dapat diatasi oleh patch ini? Patch ini mengurangi jenis kerentanan berikut: CVE-2020-0601 - Kerentanan ini juga dikenal sebagai Kerentanan Spoofing Spoofing Windows Crypto API dan dapat dieksploitasi untuk membuat file berbahaya yang dapat dieksekusi tampak tepercaya atau memungkinkan penyerang melakukan serangan man in the middle dan mendekripsi informasi rahasia pada koneksi TLS ke software yang terpengaruh. |
Skor Dasar NVD: 8,1 (Tinggi) |
Buletin keamanan yang diarsipkan
Untuk buletin keamanan sebelum tahun 2020, lihat Arsip buletin keamanan.