Bollettini sulla sicurezza

Aggiornamento 03/07/2024: è in corso un'implementazione rapida che dovrebbe rendere disponibili nuove versioni delle patch in tutte le zone entro il 3 luglio 2024 alle 17:00 (ora legale del Pacifico - USA). Per ricevere una notifica non appena è disponibile una patch per il tuo cluster specifico, utilizza notifiche cluster.

Aggiornamento 02/07/2024: questa vulnerabilità interessa sia i cluster in modalità Autopilot sia quelli in modalità Standard. Ogni sezione che segue ti indicherà le modalità a cui si applica.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Tutte le versioni supportate di Container Optimized OS e delle immagini Ubuntu su GKE eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione.

Il piano di controllo GKE non è vulnerabile a questo problema.

Che cosa devo fare?

Aggiornamento 03/07/2024: versioni patch per GKE

È in corso un'implementazione rapida e si prevede che le nuove versioni delle patch saranno disponibili in tutte le zone entro il 3 luglio 2024 alle 17:00 (ora legale del Pacifico - UTC-7).

L'upgrade dei cluster e dei nodi in cui è abilitato l'upgrade automatico inizierà nel corso della settimana; tuttavia, a causa della gravità della vulnerabilità, consigliamo di eseguire l'upgrade manualmente come segue per ottenere le patch il più rapidamente possibile.

Sia per i cluster Autopilot che per quelli Standard, esegui l'upgrade del piano di controllo a una versione con patch. Inoltre, per i cluster in modalità Standard, esegui l'upgrade dei pool di nodi a una versione con patch. I cluster Autopilot inizieranno a eseguire l'upgrade dei nodi in modo che corrispondano alla versione del piano di controllo il prima possibile.

Le versioni GKE con patch sono disponibili per ogni versione supportata al fine di ridurre al minimo le modifiche necessarie per applicare la patch. Il numero di versione di ogni nuova versione è un incremento della cifra finale nel numero di versione di una versione esistente corrispondente. Ad esempio, se utilizzi 1.27.14-gke.1100000, eseguirai l'upgrade a 1.27.14-gke.1100002 per ottenere la correzione con la modifica più piccola possibile. Sono disponibili le seguenti versioni GKE con patch:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Per verificare se una patch è disponibile nella zona o nella regione del cluster, esegui questo comando:

gcloud container get-server-config --location=LOCATION

Sostituisci LOCATION con la tua zona o regione.

Aggiornamento 02/07/2024: è necessario eseguire l'upgrade dei cluster in modalità Autopilot e Standard il prima possibile dopo che le versioni patch saranno disponibili.

Il prima possibile sarà disponibile una versione GKE con patch che include un OpenSSH aggiornato. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche del cluster. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del cluster e di applicare le mitigazioni descritte, se necessario.

Determina se i nodi hanno indirizzi IP pubblici

Aggiornamento 2/07/2024: questa sezione si applica sia ai cluster Autopilot che di quelli Standard.

Se viene creato un cluster con enable-private-nodes, i nodi saranno privati, il che mitiga la vulnerabilità rimuovendo l'esposizione a internet. Esegui questo comando per determinare se nel cluster sono abilitati nodi privati:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Se il valore restituito è True, tutti i nodi sono nodi privati per questo cluster e la vulnerabilità è mitigata. Se il valore è vuoto o false, continua per applicare una delle mitigazioni nelle sezioni seguenti.

Per trovare tutti i cluster creati originariamente con nodi pubblici, utilizza questa query di Cloud Asset Inventory nel progetto o nell'organizzazione:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Non consentire l'accesso SSH ai nodi del cluster

Aggiornamento 2/07/2024: questa sezione si applica sia ai cluster Autopilot che di quelli Standard.

La rete predefinita è precompilata con una regola firewall default-allow-ssh per consentire l'accesso SSH dalla rete internet pubblica. Per rimuovere questo accesso, puoi:

• Facoltativamente, crea regole per consentire qualsiasi accesso SSH necessario dalle reti attendibili ai nodi GKE o ad altre VM di Compute Engine nel progetto.
• Disabilita la regola firewall predefinita con il seguente comando:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Se hai creato altre regole firewall che potrebbero consentire l'accesso tramite SSH tramite TCP sulla porta 22, disabilitale o limita gli IP di origine alle reti attendibili.

Verifica di non poter più eseguire l'accesso tramite SSH ai nodi del cluster da internet. Questa configurazione del firewall attenua la vulnerabilità.

Converti i pool di nodi pubblici in privati

Aggiornamento 2/07/2024: per i cluster Autopilot creati originariamente come cluster pubblici, puoi posizionare i carichi di lavoro su nodi privati utilizzando nodeSelector. Tuttavia, i nodi Autopilot che eseguono carichi di lavoro di sistema su cluster creati originariamente come cluster pubblici saranno ancora nodi pubblici e dovrebbero essere protetti utilizzando le modifiche del firewall descritte nella sezione precedente.

Per proteggere al meglio i cluster creati originariamente con nodi pubblici, consigliamo prima di non consentire l'accesso SSH attraverso il firewall, come già descritto. Se non puoi impedire l'uso di SSH tramite le regole firewall, puoi convertire i pool di nodi pubblici sui cluster GKE Standard in privati seguendo queste indicazioni per isolare i pool di nodi.

Modifica configurazione SSHD

Aggiornamento 02/07/2024: questa sezione si applica solo ai cluster standard. Ai carichi di lavoro Autopilot non è consentito modificare la configurazione del nodo.

Se nessuna di queste mitigazioni può essere applicata, abbiamo anche pubblicato un daemonset che imposta SSHD LoginGraceTime su zero e riavvia il daemon SSH. Questo daemonset può essere applicato al cluster per mitigare l'attacco. Tieni presente che questa configurazione può aumentare il rischio di attacchi denial of service e causare problemi con il legittimo accesso SSH. Questo daemonset deve essere rimosso dopo l'applicazione di una patch.

Aggiornamento 2/07/2024: tutte le versioni supportate di Container-Optimized OS e immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema.

Il software GDC per i cluster VMware con indirizzi IP dei nodi pubblici e SSH esposto a internet deve essere trattato con la massima priorità per la mitigazione.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 2/07/2024: il software GDC con patch per la versione VMware che include un OpenSSH aggiornato verrà reso disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di applicare le seguenti mitigazioni, se necessario.

Non consentire l'accesso SSH ai nodi del cluster

Puoi modificare la configurazione della rete dell'infrastruttura in modo da non consentire la connettività SSH da fonti non attendibili, come la rete internet pubblica.

Modifica configurazione SSH

Se non riesci ad applicare la mitigazione precedente, abbiamo pubblicato un DaemonSet che imposta il parametro sshd LoginGraceTime su zero e riavvia il daemon SSH. Questo DaemonSet può essere applicato al cluster per mitigare l'attacco. Tieni presente che questa configurazione potrebbe aumentare il rischio di attacchi denial of service e causare problemi con l'accesso SSH legittimo. Rimuovi questo DaemonSet dopo l'applicazione di una patch.

Aggiornamento 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su AWS eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE su AWS con indirizzi IP dei nodi pubblici e SSH esposto a internet devono essere trattati con la massima priorità per la mitigazione.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: il prima possibile sarà resa disponibile una versione GKE con patch su AWS che include un OpenSSH aggiornato. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di seguire questi passaggi per verificare l'esposizione del tuo cluster e applicare le mitigazioni descritte in base alle esigenze.

Determina se i nodi hanno indirizzi IP pubblici

GKE su AWS non esegue il provisioning di alcuna macchina con indirizzi IP pubblici o con regole firewall che consentono il traffico alla porta 22 per impostazione predefinita. Tuttavia, a seconda della configurazione della subnet, le macchine possono ottenere automaticamente un indirizzo IP pubblico durante il provisioning.

Per verificare se per i nodi viene eseguito il provisioning di indirizzi IP pubblici, controlla la configurazione della subnet associata alla risorsa del pool di nodi AWS.

Non consentire l'accesso SSH ai nodi del cluster

Anche se GKE su AWS non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono collegare gruppi di sicurezza aggiuntivi ai pool di nodi, abilitando il traffico SSH in entrata.

Ti consigliamo di rimuovere o ridurre l'ambito delle regole corrispondenti dai gruppi di sicurezza forniti.

Converti i pool di nodi pubblici in privati

Per proteggere al meglio i cluster con nodi pubblici, consigliamo prima di non consentire l'accesso SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non puoi consentire l'accesso SSH tramite le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati disabilitando l'opzione di assegnazione automatica degli IP pubblici alle macchine all'interno di una subnet ed eseguendo nuovamente il provisioning del pool di nodi.

Aggiornamento 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su Azure eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE su Azure con indirizzi IP dei nodi pubblici e SSH esposto a internet devono essere trattati con la massima priorità per la mitigazione.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: il prima possibile sarà resa disponibile una versione GKE su Azure con patch che include un OpenSSH aggiornato. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di seguire questi passaggi per verificare l'esposizione del tuo cluster e applicare le mitigazioni descritte in base alle esigenze.

Determina se i nodi hanno indirizzi IP pubblici

GKE su Azure non esegue il provisioning di alcuna macchina con indirizzi IP pubblici o con regole firewall che consentono il traffico alla porta 22 per impostazione predefinita. Per rivedere la configurazione di Azure e verificare se sul tuo cluster GKE su Azure sono configurati indirizzi IP pubblici, esegui questo comando:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Non consentire l'accesso SSH ai nodi del cluster

Anche se GKE su Azure non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono aggiornare le regole NetworkSecurityGroup in pool di nodi, abilitando il traffico SSH in entrata dalla rete internet pubblica.

Ti consigliamo vivamente di esaminare i gruppi di sicurezza di rete (NSG) associati ai tuoi cluster Kubernetes. Se esiste una regola NSG che consente il traffico in entrata senza restrizioni sulla porta 22 (SSH), procedi in uno dei seguenti modi:

• Rimuovi completamente la regola: se non è necessario l'accesso SSH ai nodi del cluster da internet, rimuovi la regola per eliminare potenziali vettori di attacco.
• Definisci l'ambito della regola: limita l'accesso in entrata nella porta 22 solo agli indirizzi o agli intervalli IP specifici che lo richiedono. Questo riduce al minimo la superficie esposta a potenziali attacchi.

Converti i pool di nodi pubblici in privati

Per proteggere al meglio i cluster con nodi pubblici, consigliamo prima di non consentire l'accesso SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non puoi consentire l'accesso SSH tramite le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati rimuovendo gli indirizzi IP pubblici associati alle VM.

Per rimuovere un indirizzo IP pubblico da una VM e sostituirlo con una configurazione di indirizzo IP privato, consulta Dissociare un indirizzo IP pubblico da una VM Azure.

Impatto: tutte le connessioni esistenti che utilizzano l'indirizzo IP pubblico verranno interrotte. Assicurati di disporre di metodi di accesso alternativi, ad esempio una VPN o un bastion Azure.

Aggiornamento 02/07/2024: la versione originale di questo bollettino per il software GDC per bare metal indicava erroneamente che erano in corso le versioni patch. Il software GDC per bare metal non è interessato direttamente perché non gestisce la configurazione o il daemon SSH del sistema operativo. Di conseguenza, le versioni patch sono responsabilità del fornitore del sistema operativo, come descritto nella sezione Cosa devo fare?.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387 in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo ai malintenzionati di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: contatta il tuo fornitore del sistema operativo per ottenere una patch per i sistemi operativi in uso con il software GDC per bare metal.

Finché non avrai applicato la patch del fornitore del sistema operativo, assicurati che le macchine raggiungibili pubblicamente non consentano le connessioni SSH da internet. Se ciò non è possibile, un'alternativa è impostare LoginGraceTime su zero e riavviare il server SSH:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Tieni presente che questa modifica alla configurazione potrebbe aumentare il rischio di attacchi DoS e causare problemi con l'accesso SSH legittimo.

Testo originale 01/07/2024 (vedi l'aggiornamento precedente dell'02/07/2024 per una correzione):

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26923

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26924

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26584

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Le seguenti versioni secondarie sono interessate, ma non dispongono di una versione patch. Aggiorneremo questo bollettino quando saranno disponibili le versioni patch:

• 1,26
• 1,27

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26583

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2022-23222

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE on VMware non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE su VMware non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE su AWS non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE su AWS non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE su Azure non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE su Azure non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit.

GKE on Bare Metal non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE on Bare Metal non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-52620

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26642

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 22/05/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o successive:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26581

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Aggiornamento 09/05/2024: gravità corretta da media ad alta. Il bollettino originale indicava che i cluster Autopilot sono interessati, ma non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 15/05/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o successive:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26808

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Aggiornamento 09/05/2024: gravità corretta da media ad alta.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26643

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-26585

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster.

Sono interessati i cluster GKE Autopilot e Standard.

Che cosa devo fare?

Aggiornamento 24/04/2024: sono state aggiunte versioni patch per GKE.

Le seguenti versioni di GKE includono le patch di sicurezza Golang per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE alle versioni seguenti o successive:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili versioni di GKE che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Mitigazione configurando reti autorizzate per l'accesso al piano di controllo:

Puoi limitare i tuoi cluster da questa classe di attacchi configurando le reti autorizzate. Segui le istruzioni per abilitare le reti autorizzate per un cluster esistente.

Per saperne di più su come le reti autorizzate controllano l'accesso al piano di controllo, vedi Come funzionano le reti autorizzate. Per visualizzare l'accesso alla rete autorizzato predefinito, visualizza la tabella nella sezione Accesso agli endpoint del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on VMware che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni GKE su AWS che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili versioni di GKE su Azure che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on Bare Metal che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo Kubernetes.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 06/05/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle versioni seguenti o successive.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Aggiornamento 04/04/2024: sono state corrette le versioni minime per i pool di nodi di GKE Container-Optimized OS.

Le versioni minime di GKE contenenti le correzioni di Container-Optimized OS elencate in precedenza non erano corrette. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei pool di nodi di Container-Optimized OS alle versioni seguenti o successive:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-1085

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3611

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3776

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-3610

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2024-0193

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

• CVE-2023-6932

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

Che cosa devo fare?

Aggiornamento del 17/04/2024: sono state aggiunte versioni patch per GKE su VMware.

Le seguenti versioni di GKE on VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:

• 1.28.200
• 1.16.6
• 1.15.10

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6931

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Potrebbero essere interessati i cluster GKE Standard che eseguono nodi Windows Server e che utilizzano un plug-in di archiviazione in-tree.

I cluster GKE Autopilot e i pool di nodi GKE che utilizzano GKE Sandbox non sono interessati perché non supportano i nodi di Windows Server.

Che cosa devo fare?

Determina se sono in uso nodi Windows Server nei tuoi cluster:

kubectl get nodes -l kubernetes.io/os=windows

Controllare i log di controllo per verificare che non ci siano prove di sfruttamento. Gli audit log di Kubernetes possono essere controllati per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi di percorso locali contenenti caratteri speciali sono un chiaro indice di sfruttamento.

Aggiorna il cluster GKE e i pool di nodi a una versione con patch. Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi Windows Server a una delle seguenti versioni di GKE o successive:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Potrebbero essere interessati i cluster GKE on VMware che eseguono nodi Windows Server e che utilizzano un plug-in di archiviazione in-tree.

Che cosa devo fare?

Determina se sono in uso nodi Windows Server nei tuoi cluster:

kubectl get nodes -l kubernetes.io/os=windows

Controllare i log di controllo per verificare che non ci siano prove di sfruttamento. Gli audit log di Kubernetes possono essere controllati per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi di percorso locali contenenti caratteri speciali sono un chiaro indice di sfruttamento.

Aggiorna il cluster GKE on VMware e i pool di nodi a una versione con patch. Le seguenti versioni di GKE on VMware sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi di Windows Server a una delle seguenti versioni di GKE on VMware o successive:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE su AWS non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE on Azure non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE on Bare Metal non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su nodi Ubuntu e Container-Optimized OS potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 28/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Aggiornamento del 15/02/2024: a causa di un problema, le seguenti versioni delle patch di Ubuntu dell'aggiornamento del 14/02/2024 potrebbero causare lo stato non integro dei nodi. Non eseguire l'upgrade alle seguenti versioni delle patch. Aggiorneremo questo bollettino quando saranno disponibili versioni più recenti delle patch per Ubuntu 1.25 e 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Se hai già eseguito l'upgrade a una di queste versioni della patch, esegui il downgrade manuale del pool di nodi a una versione precedente nel canale di rilascio.

Aggiornamento 14/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Aggiornamento 06/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Container-Optimized OS. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi di Container-Optimized OS a una delle seguenti versioni GKE o successive:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Stiamo aggiornando GKE con il codice per correggere questa vulnerabilità. Aggiorneremo questo bollettino quando saranno disponibili le versioni delle patch.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati nei pod Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. Inoltre, runc non ha verificato che la directory di lavoro finale di un container si trovasse all'interno dello spazio dei nomi montato del container. Un'immagine container dannosa o un utente con autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione dei descrittori del file divulgato e la mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi montato sull'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su nodi Ubuntu e Container-Optimized OS potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Che cosa devo fare?

Aggiornamento 06/03/2024: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:

• 1.28.200
• 1.16.6
• 1.15.9

Sono in corso versioni patch e una valutazione della gravità per GKE su VMware. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati nei pod Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. Inoltre, runc non ha verificato che la directory di lavoro finale di un container si trovasse all'interno dello spazio dei nomi montato del container. Un'immagine container dannosa o un utente con autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione dei descrittori del file divulgato e la mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi montato sull'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su nodi Ubuntu e Container-Optimized OS potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Che cosa devo fare?

Aggiornamento 06/05/2024: le seguenti versioni di GKE su AWS sono state aggiornate con le patch per CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Sono in corso le versioni delle patch e una valutazione della gravità per GKE su AWS. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati nei pod Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. Inoltre, runc non ha verificato che la directory di lavoro finale di un container si trovasse all'interno dello spazio dei nomi montato del container. Un'immagine container dannosa o un utente con autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione dei descrittori del file divulgato e la mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi montato sull'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su nodi Ubuntu e Container-Optimized OS potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Che cosa devo fare?

Aggiornamento 06/05/2024: le seguenti versioni di GKE su Azure sono state aggiornate con le patch per CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Sono in corso le versioni delle patch e una valutazione della gravità per GKE su Azure. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati nei pod Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. Inoltre, runc non ha verificato che la directory di lavoro finale di un container si trovasse all'interno dello spazio dei nomi montato del container. Un'immagine container dannosa o un utente con autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione dei descrittori del file divulgato e la mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi montato sull'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod potrebbe essere in grado di ottenere l'accesso completo al file system del nodo.

Che cosa devo fare?

Aggiornamento 02/04/2024: le seguenti versioni di GKE on Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Sono in corso le versioni delle patch e una valutazione della gravità per GKE on Bare Metal. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per generare ed eseguire container Linux utilizzati nei pod Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. Inoltre, runc non ha verificato che la directory di lavoro finale di un container si trovasse all'interno dello spazio dei nomi montato del container. Un'immagine container dannosa o un utente con autorizzazione a eseguire pod arbitrari potrebbe utilizzare una combinazione dei descrittori del file divulgato e la mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi montato sull'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 07/02/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-6817

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Aggiornamento 26/01/2024: è stata pubblicata una ricerca sulla sicurezza che ha rilevato un numero limitato di cluster GKE con un errore di configurazione creato dal cliente che coinvolge il gruppo system:authenticated. Il blog post del ricercatore fa riferimento a 1300 cluster con alcune associazioni configurate in modo errato e 108 con privilegi elevati. Abbiamo lavorato a stretto contatto con i clienti interessati per informarli e aiutare a rimuovere le loro associazioni non configurate correttamente.

Abbiamo identificato diversi cluster in cui gli utenti hanno concesso privilegi Kubernetes al gruppo system:authenticated, che include tutti gli utenti con un Account Google. Questi tipi di associazioni non sono consigliati perché violano il principio del privilegio minimo e concedono l'accesso a gruppi di utenti molto ampi. Per istruzioni su come trovare questi tipi di associazioni, consulta le indicazioni in "Che cosa devo fare".

Recentemente, un ricercatore della sicurezza ha segnalato risultati relativi a cluster con configurazioni errate dell'RBAC tramite il nostro programma di segnalazione delle vulnerabilità.

L'approccio di Google all'autenticazione consiste nel rendere l'autenticazione su Google Cloud e GKE il più semplice e sicura possibile senza aggiungere passaggi di configurazione complessi. L'autenticazione ci indica semplicemente chi è l'utente, mentre l'autorizzazione è quella in cui viene determinato l'accesso. Pertanto, il gruppo system:authenticated in GKE che contiene tutti gli utenti autenticati tramite il provider di identità di Google funziona come previsto e funziona allo stesso modo dell'identificatore IAM allAuthenticatedUsers.

Tenendo conto di ciò, abbiamo adottato diverse misure per ridurre il rischio che gli utenti effettuino errori di autorizzazione con gli utenti e i gruppi integrati di Kubernetes, tra cui system:anonymous, system:authenticated e system:unauthenticated. Tutti questi utenti/gruppi rappresentano un rischio per il cluster se vengono concesse le autorizzazioni. Abbiamo parlato di alcune attività degli utenti malintenzionati che prendono di mira le configurazioni errate dell'RBAC e le difese disponibili al Kubecon a novembre 2023.

Per proteggere gli utenti da errori di autorizzazione accidentali con questi utenti/gruppi di sistema, abbiamo:

• Per impostazione predefinita, sono state bloccate nuove associazioni di ClusterRole cluster-admin con privilegi elevati per l'utente system:anonymous, Gruppo system:authenticated o Gruppo system:unauthenticated nella versione 1.28 di GKE.
• Incorporate le regole di rilevamento in Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) nell'ambito di Security Command Center.
• Regole di prevenzione configurabili integrate in Policy Controller con K8sRestrictRoleBindings.
• Sono state inviate notifiche email a tutti gli utenti GKE con associazioni a questi utenti/gruppi per chiedere loro di rivedere la propria configurazione.
• Sono state create funzionalità di autorizzazione di rete e forniti suggerimenti per limitare l'accesso alla rete ai cluster come primo livello di difesa.
• Sensibilizzazione su questo problema tramite un discorso al Kubecon a novembre 2023.

I cluster che applicano limitazioni delle reti autorizzate dispongono di un primo livello di difesa: non possono essere attaccati direttamente da internet. Tuttavia, consigliamo comunque di rimuovere queste associazioni per una difesa in profondità e evitare errori nei controlli di rete.
Tieni presente che esistono vari casi in cui le associazioni a utenti o gruppi del sistema Kubernetes vengono utilizzate intenzionalmente, ad esempio per il booster kubeadm, la dashboard di Ranchr e i secret sigillati Bitnami. Abbiamo confermato con i fornitori di software che queste associazioni funzionano come previsto.

Stiamo studiando i modi in cui possiamo proteggerti ulteriormente dagli errori di configurazione dell'RBAC degli utenti con questi utenti o gruppi di sistema attraverso prevenzione e rilevamento.

Che cosa devo fare?

Per evitare eventuali nuove associazioni di cluster-admin all'utente system:anonymous, Gruppo system:authenticated o Gruppo system:unauthenticated, gli utenti possono eseguire l'upgrade a GKE v1.28 o versioni successive (note di rilascio), in cui la creazione di queste associazioni è bloccata.

Le associazioni esistenti devono essere esaminate seguendo queste indicazioni.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

• CVE-2023-6111

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Aggiornamento 20/02/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive: 1.28.100

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3609

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3389

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3090

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.27.4-gke.400
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3390

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Un utente malintenzionato che ha compromesso il container di logging di Fluent Bit potrebbe combinare questo accesso con gli elevati privilegi richiesti da Cloud Service Mesh (sui cluster in cui è abilitato) per aumentare i privilegi nel cluster. I problemi relativi a Fluent Bit e Cloud Service Mesh sono stati ridotti e sono ora disponibili correzioni. Queste vulnerabilità non sono sfruttabili da sole in GKE e richiedono una compromissione iniziale. Non siamo a conoscenza di casi di sfruttamento di queste vulnerabilità.

Questi problemi sono stati segnalati tramite il nostro Vulnerability Reward Program.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità in Fluent Bit e per gli utenti del mesh di servizi Cloud gestito. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE o successive:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono a un utente malintenzionato di compromettere il container di logging di Fluent Bit. Non siamo a conoscenza di vulnerabilità esistenti in Fluent Bit che porterebbero a questa condizione di prerequisito per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro

GKE utilizza Fluent Bit per elaborare i log per i carichi di lavoro in esecuzione sui cluster. Fluent Bit su GKE è stato configurato anche per raccogliere i log per i carichi di lavoro di Cloud Run. Il montaggio del volume configurato per raccogliere questi log ha concesso a Fluent Bit l'accesso ai token degli account di servizio Kubernetes per gli altri pod in esecuzione sul nodo. Il ricercatore ha usato questo accesso per scoprire un token dell'account di servizio con privilegi elevati per i cluster in cui è abilitato Cloud Service Mesh.

Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin

Abbiamo rimosso l'accesso di Fluent Bit ai token degli account di servizio e abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi in eccesso.

Sono interessati solo i cluster GKE on VMware che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato prima compromettere o altrimenti uscire da un container o avere la radice su un nodo cluster sia root. Non siamo a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi.

È interessato solo GKE su cluster AWS che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato prima compromettere o altrimenti uscire da un container o avere la radice su un nodo cluster sia root. Non siamo a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi.

Sono interessati solo i cluster GKE su Azure che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato prima compromettere o altrimenti uscire da un container o avere la radice su un nodo cluster sia root. Non siamo a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro.

Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi.

Sono interessati solo i cluster GKE on Bare Metal che utilizzano Cloud Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato prima compromettere o altrimenti uscire da un container o avere la radice su un nodo cluster sia root. Non siamo a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacchi completa in futuro.

Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per aumentare i privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin.

Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 22/01/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Che cosa devo fare?

Aggiornamento 04/03/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive:

• 1.28.200
• 1.16.5
• 1.15.8

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5717

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni di patch o a una versione successiva:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione della patch non diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-5197

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot non sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 15/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi questa versione secondaria nei tuoi nodi. Ad esempio, se utilizzi GKE versione 1.27, devi eseguire l'upgrade alla versione con patch corrispondente. Tuttavia, se utilizzi GKE versione 1.24, non è necessario eseguire l'upgrade a una versione con patch.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Puoi applicare versioni patch da canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi fino a quando la versione con patch diventa quella predefinita nel canale di rilascio. Per maggiori dettagli, consulta Eseguire le versioni delle patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4147

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 5/12/2023: in precedenza mancano alcune versioni di GKE. Di seguito è riportato un elenco aggiornato delle versioni GKE in cui puoi aggiornare Container-Optimized OS:

• 1.24.17-gke.200 o versioni successive
• 1.25.13-gke.200 o versioni successive
• 1.26.8-gke.200 o versioni successive
• 1.27.4-gke.2300 o versioni successive
• 1.28.1-gke.1257000 o versioni successive

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4004

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4921

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4623

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

• 1.27.5-gke.1647000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4015

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN. Ciò non influisce sui carichi di lavoro di GKE Sandbox.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate.

Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

• CVE-2023-3777

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster.

Che cosa devo fare?

Aggiornamento 09/11/2023: abbiamo rilasciato nuove versioni di GKE che includono le patch di sicurezza Go e Kubernetes, che puoi aggiornare ora per i tuoi cluster. Nelle prossime settimane rilasceremo ulteriori modifiche al piano di controllo GKE per mitigare ulteriormente questo problema.

Le seguenti versioni di GKE sono state aggiornate con patch per CVE-2023-44487 e CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Ti consigliamo di applicare la seguente mitigazione il prima possibile ed eseguire l'upgrade alla versione con patch più recente, quando disponibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione per eseguire l'upgrade del piano di controllo. Inoltre, renderemo visibili le patch all'interno della postura di sicurezza di GKE quando saranno disponibili per il tuo cluster. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche del cluster.

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Attenuazione mediante la configurazione di reti autorizzate per l'accesso al piano di controllo:

Puoi aggiungere reti autorizzate per i cluster esistenti. Per saperne di più, consulta Rete autorizzata per i cluster esistenti.

Oltre alle reti autorizzate che aggiungi, esistono indirizzi IP preimpostati che possono accedere al piano di controllo GKE. Per saperne di più su questi indirizzi, vedi Accesso agli endpoint del piano di controllo. I seguenti elementi riepilogano l'isolamento del cluster:

• I cluster privati con --master-authorized-networks e i cluster basati su PSC con --master-authorized-networks e --no-enable-google-cloud configurati sono i più isolati.
• I cluster pubblici legacy con --master-authorized-networks e i cluster basati su PSC con --master-authorized-networks e --enable-google-cloud (impostazione predefinita) configurati sono accessibili anche da quanto segue:
  • Indirizzi IP pubblici di tutte le VM di Compute Engine in Google Cloud
  • Indirizzi IP della piattaforma Google Cloud

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo GKE.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE on VMware crea cluster Kubernetes che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento 14/02/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni di patch o a versioni successive:

• 1.28.100
• 1.16.6
• 1.15.8

Se hai configurato i cluster Kubernetes di GKE on VMware in modo da avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare l'accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE su AWS crea cluster Kubernetes privati che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento del 20/03/2024: le seguenti versioni di GKE su AWS sono state aggiornate con le patch per CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Se hai configurato GKE su AWS per avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare questo accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE su Azure crea cluster Kubernetes privati che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento 20/03/2024: le seguenti versioni di GKE su Azure sono state aggiornate con le patch per CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Se hai configurato i cluster GKE su Azure in modo da avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare questo accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. Anthos su Bare Metal crea cluster Kubernetes che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Se hai configurato i cluster Kubernetes Anthos on Bare Metal in modo che abbiano accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare l'accesso. Per saperne di più, consulta la panoramica sulla sicurezza di GKE on Bare Metal.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibile, creeremo e qualificheremo un nuovo server API Kubernetes con queste patch e creeremo una release GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

I cluster GKE sono interessati solo se includono nodi Windows.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Il piano di controllo GKE verrà aggiornato la settimana del 04/09/2023 per aggiornare csi-proxy alla versione 1.1.3. Se aggiorni i nodi prima dell'aggiornamento del piano di controllo, dovrai aggiornarli di nuovo dopo l'aggiornamento per sfruttare il nuovo proxy. Puoi aggiornare nuovamente i nodi, anche senza modificare la versione dei nodi, eseguendo il comando gcloud container clusters upgrade e passando il flag --cluster-version con la stessa versione GKE già in esecuzione del pool di nodi. Per questa soluzione alternativa, devi utilizzare gcloud CLI. Tieni presente che questa operazione causerà un aggiornamento indipendentemente dai periodi di manutenzione.

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica di pod con stringhe di percorsi host che contengono comandi PowerShell. kubelet non ha la sanitizzazione dell'input e passa questa stringa di percorso creata all'esecutore di comando come argomento in cui eseguire parti della stringa come comandi separati. Questi comandi vengono eseguiti con gli stessi privilegi amministrativi di Kubelet.

Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, con autorizzazioni con privilegi.

Con CVE-2023-3893, una simile mancanza di sanitation degli input consente a un utente in grado di creare pod sui nodi Windows che eseguono kubernetes-csi-proxy di riassegnare ai privilegi amministrativi su quei nodi.

Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Gli eventi di creazione dei pod con comandi PowerShell incorporati sono una forte indicazione dello sfruttamento. Anche i ConfigMap e i Secret che contengono comandi PowerShell incorporati e sono montati nei pod sono una forte indicazione di sfruttamento.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

I cluster sono interessati solo se includono nodi Windows.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica di pod con stringhe di percorsi host che contengono comandi PowerShell. kubelet non ha la sanitizzazione dell'input e passa questa stringa di percorso creata all'esecutore di comando come argomento in cui eseguire parti della stringa come comandi separati. Questi comandi vengono eseguiti con gli stessi privilegi amministrativi di Kubelet.

Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, con autorizzazioni con privilegi.

Con CVE-2023-3893, una simile mancanza di sanitation degli input consente a un utente in grado di creare pod sui nodi Windows che eseguono kubernetes-csi-proxy di riassegnare ai privilegi amministrativi su quei nodi.

Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Gli eventi di creazione dei pod con comandi PowerShell incorporati sono una forte indicazione dello sfruttamento. Anche i ConfigMap e i Secret che contengono comandi PowerShell incorporati e sono montati nei pod sono una forte indicazione di sfruttamento.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

GKE su AWS non è interessato da queste CVE. Non è richiesto alcun intervento da parte tua.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

GKE su Azure non è interessato da queste CVE. Non è richiesto alcun intervento da parte tua.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

GKE on Bare Metal non è interessato da queste CVE. Non è richiesto alcun intervento da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati perché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, eseguono versioni precedenti alla 1.25 o utilizzano GKE Sandbox.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2235, la funzione perf_group_Scollega non ha controllato il link attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore in sospeso che causa una vulnerabilità use-after-free.

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2235, la funzione perf_group_Scollega non ha controllato il link attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore in sospeso che causa una vulnerabilità use-after-free.

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. La risorsa è interessata da GKE su cluster AWS.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-2235, la funzione perf_group_Scollega non ha controllato il link attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore in sospeso che causa una vulnerabilità use-after-free.

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on Azure sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-2235, la funzione perf_group_Scollega non ha controllato il link attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore in sospeso che causa una vulnerabilità use-after-free.

È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 11/07/2023: sono disponibili le versioni patch di Ubuntu.

Le seguenti versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate?

Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. La risorsa è interessata da GKE su cluster AWS.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on Azure sono interessati.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

Sono state scoperte diverse vulnerabilità in Envoy, che viene utilizzato in Cloud Service Mesh (ASM). Questi eventi sono stati segnalati separatamente come GCP-2023-002.

GKE non viene fornito con ASM e non è interessato da queste vulnerabilità.

Che cosa devo fare?

Se hai installato separatamente ASM per i tuoi cluster GKE, consulta GCP-2023-002.

In VMware Service Envoy, è stata scoperta una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), che causano un arresto anomalo Questi eventi sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiornino le proprie versioni che includono ASM.

Che cosa devo fare?

Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:

• 1.13.8
• 1.14.5
• 1.15.1

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato e esposto, un utente malintenzionato potrebbe creare una richiesta che causerebbe il denial of service causando l'arresto anomalo di Envoy.

CVE-2023-27488: gli aggressori possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.

CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste che siano state generate utilizzando gli input della richiesta, ad esempio la SAN del certificato peer.

CVE-2023-27492: gli aggressori possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e che causano arresti anomali.

CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 create appositamente per attivare errori di analisi sul servizio upstream HTTP/1.

CVE-2023-27487: l'intestazione x-envoy-original-path deve essere un'intestazione interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

In Envoy Service sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), che Questi eventi sono stati segnalati separatamente come GCP-2023-002.

GKE su AWS non viene fornito con ASM e non è interessato.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

In Envoy Service sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), che Questi eventi sono stati segnalati separatamente come GCP-2023-002.

GKE su Azure non viene fornito con ASM e non è interessato.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

In Envoyial Service è stata scoperta una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), che causa un arresto anomalo Questi eventi sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiornino le proprie versioni che includono ASM.

Che cosa devo fare?

Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on Bare Metal:

• 1.13.9
• 1.14.6
• 1.15.2

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato e esposto, un utente malintenzionato potrebbe creare una richiesta che causerebbe il denial of service causando l'arresto anomalo di Envoy.

CVE-2023-27488: gli aggressori possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.

CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste che siano state generate utilizzando gli input della richiesta, ad esempio la SAN del certificato peer.

CVE-2023-27492: gli aggressori possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e che causano arresti anomali.

CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 create appositamente per attivare errori di analisi sul servizio upstream HTTP/1.

CVE-2023-27487: l'intestazione x-envoy-original-path deve essere un'intestazione interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

In CVE-2023-0468, è stato trovato un difetto use-after-free in io_uring/poll.c in io_poll_check_events nel sottocomponente io_uring nel kernel Linux. Questo difetto potrebbe causare la dereferenza del puntatore NULL e potenzialmente un arresto anomalo del sistema che porta a un denial of service.

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo.

GKE on VMware utilizza la versione 5.4 del kernel Linux e non è interessato da questo CVE.

Che cosa devo fare?

• Non è necessaria alcuna azione

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo.

GKE su AWS non è interessato da questo CVE.

Che cosa devo fare?

• Non è necessaria alcuna azione

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo.

GKE su Azure non è interessato da questo CVE.

Che cosa devo fare?

• Non è necessaria alcuna azione

Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

• Non è necessaria alcuna azione

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

GKE non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale di rilascio specifico.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

Sono stati rilevati due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano i container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). Anthos on VMware non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.

Tutte le versioni di Anthos su VMware sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento dell'11/08/2023: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:

• 1.13.10
• 1.14.6
• 1.15.3

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati rilevati due nuovi problemi di sicurezza: gli utenti potrebbero essere in grado di avviare container che aggirano le restrizioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos su AWS non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos su AWS sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento dell'11/08/2023: la seguente versione di GKE su AWS è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione GKE su AWS:

• 1.15.2

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati rilevati due nuovi problemi di sicurezza, in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano i container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos on Azure non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos on Azure sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento dell'11/08/2023: la seguente versione di GKE su Azure è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione di GKE su Azure:

• 1.15.2

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati rilevati due nuovi problemi di sicurezza: gli utenti potrebbero essere in grado di avviare container che ignorano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos su Bare Metal non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos su Bare Metal sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento dell'11/08/2023: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi a una delle seguenti versioni Google Distributed Cloud Virtual for Bare Metal:

• 1.13.9
• 1.14.7
• 1.15.3

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano contenitori temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE non è interessato da questa CVE.

Che cosa devo fare?

Sebbene GKE non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE on VMware non è interessato da questo CVE.

Che cosa devo fare?

Sebbene GKE on VMware non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE su AWS non è interessato da questo CVE.

Che cosa devo fare?

Anche se GKE su AWS non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE su Azure non è interessato da questo CVE

Che cosa devo fare?

Anche se GKE su Azure non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare la tua installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault.

GKE on Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

Anche se GKE on Bare Metal non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v.

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo. Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione io_file_get_fixed manca la presenza di ctx->uring_lock, il che può causare una vulnerabilità " use-after-free" a causa di una race condition in cui i file fissi vengono annullati.

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione io_file_get_fixed manca la presenza di ctx->uring_lock, il che può causare una vulnerabilità " use-after-free" a causa di una race condition in cui i file fissi vengono annullati.

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

Che cosa devo fare?

Le seguenti versioni di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità:

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione io_file_get_fixed manca la presenza di ctx->uring_lock, il che può causare una vulnerabilità " use-after-free" a causa di una race condition in cui i file fissi vengono annullati.

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

Che cosa devo fare?

Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità:

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-1872 è una vulnerabilità "use-after-free" nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere l'escalation dei privilegi locali. Nella funzione io_file_get_fixed manca la presenza di ctx->uring_lock, il che può causare una vulnerabilità " use-after-free" a causa di una race condition in cui i file fissi vengono annullati.

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

GKE on Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. I cluster GKE Standard sono interessati.

I cluster e i cluster GKE Autopilot che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 06/06/2023: sono disponibili le versioni patch di Ubuntu.

Le seguenti versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-1281 e CVE-2023-1829:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali.

Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati.

In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando tcf_exts_exec() viene chiamato con il tcf_ext eliminato. Un utente malintenzionato locale può utilizzare questa vulnerabilità per elevare i propri privilegi a root.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali.

Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati.

In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando tcf_exts_exec() viene chiamato con il tcf_ext eliminato. Un utente malintenzionato locale può utilizzare questa vulnerabilità per elevare i propri privilegi a root.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali.

Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati.

In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando tcf_exts_exec() viene chiamato con il tcf_ext eliminato. Un utente malintenzionato locale può utilizzare questa vulnerabilità per elevare i propri privilegi a root.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità "use-after-free" nel filtro dell'indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere l'escalation dei privilegi locali.

Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in determinati casi, il che può in seguito portare a una doppia liberazione di una struttura di dati.

In CVE-2023-1281, l'area hash imperfetta può essere aggiornata durante l'attraversamento dei pacchetti, il che causerà un uso-after-free quando tcf_exts_exec() viene chiamato con il tcf_ext eliminato. Un utente malintenzionato locale può utilizzare questa vulnerabilità per elevare i propri privilegi a root.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

GKE on Bare Metal non è interessato da questo CVE.

Che cosa devo fare?

Non occorre alcun intervento.

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. Sono interessati i cluster GKE, inclusi i cluster Autopilot, con COS che utilizzano la versione 5.10 del kernel Linux fino alla 5.10.162. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

Vulnerabilità 1 (CVE-2023-0240): una race condition in io_uring può portare alla separazione completa di un container sul nodo. Le versioni del kernel Linux 5.10 sono interessate fino alla 5.10.162.

Vulnerabilità 2 (CVE-2023-23586): un utilizzo dopo la prova (UAF) in io_uring/time_ns può portare alla suddivisione di un container completo per il rooting sul nodo. Le versioni del kernel Linux 5.10 sono interessate fino alla 5.10.162.

Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. Sono interessati i cluster GKE on VMware con COS che utilizzano il kernel Linux versione 5.10 fino alla 5.10.162. I cluster GKE Enterprise che utilizzano immagini Ubuntu non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere queste vulnerabilità:

• 1.12.6
• 1.13.5

Quali vulnerabilità vengono affrontate da questa patch?

Vulnerabilità 1 (CVE-2023-0240): una race condition in io_uring può portare alla separazione di un container completo sul nodo. Le versioni del kernel Linux 5.10 sono interessate fino alla 5.10.162.

Vulnerabilità 2 (CVE-2023-23586): un utilizzo dopo la prova (UAF) in io_uring/time_ns può portare alla separazione completa del container sul nodo. Le versioni del kernel Linux 5.10 sono interessate fino alla 5.10.162.

Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE su AWS non è interessato da queste CVE.

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE su Azure non è interessato da queste CVE

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE on Bare Metal non è interessato da queste CVE.

Che cosa devo fare?

Non occorre alcun intervento.

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-4696, è stato rilevato un errore "use-after-free" in io_uring e ioring_op_splice nel kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Sono interessati GKE on VMware con le versioni 1.12 e 1.13. La modifica non riguarda GKE on VMware con versione 1.14 o successiva.

Che cosa devo fare?

Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:

• 1.12.5
• 1.13.5

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-4696, è stato rilevato un errore "use-after-free" in io_uring e ioring_op_splice nel kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su AWS non è interessato da questa vulnerabilità.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su Azure non è interessato da questa vulnerabilità.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE on Bare Metal non è interessato da questa vulnerabilità.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Anche se è stato classificato come High nel database NVD, gli endpoint GKE utilizzano boringSSL o una versione precedente di OpenSSL che non è interessata, per cui la valutazione è stata ridotta a Medium per GKE.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità:

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3786 e CVE-2022-3602, nella verifica del certificato X.509 può essere attivato un superamento del buffer che può causare un arresto anomalo che comporterà un denial of service. Per essere sfruttata, questa vulnerabilità richiede che una CA abbia firmato un certificato dannoso oppure affinché un'applicazione continui la verifica del certificato nonostante non sia stato creato un percorso verso un emittente attendibile.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Che cosa devo fare?

GKE on VMware non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL.

Quali vulnerabilità vengono affrontate da questa patch?

Non occorre alcun intervento.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Che cosa devo fare?

GKE su AWS non è interessato da questo CVE poiché non utilizza una versione interessata di OpenSSL.

Quali vulnerabilità vengono affrontate da questa patch?

Non occorre alcun intervento.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Che cosa devo fare?

GKE su Azure non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL.

Quali vulnerabilità vengono affrontate da questa patch?

Non occorre alcun intervento.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Che cosa devo fare?

GKE on Bare Metal non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL.

Quali vulnerabilità vengono affrontate da questa patch?

Non occorre alcun intervento.

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• Container-Optimized OS:
  • 1.22.16-gke.1300 e versioni successive
  • 1.23.14-gke.401 e versioni successive
  • 1.24.7-gke.900 e versioni successive
  • 1.25.4-gke.1600 e versioni successive
• Ubuntu:
• 1.22.15-gke.2500 e versioni successive
• 1.23.13-gke.900 e versioni successive
• 1.24.7-gke.900 e versioni successive
• 1.25.3-gke.800 e versioni successive

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità "use-after-free". Un utente malintenzionato locale potrebbe utilizzare questa opzione per attivare un denial of service o eseguire un codice arbitrario.

È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

Sono interessate le versioni 1.11, 1.12 e 1.13 di GKE on VMware.

Che cosa devo fare?

Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità:

• 1.13.2
• 1.12.4
• 1.11.5

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità "use-after-free". Un utente malintenzionato locale potrebbe utilizzare questa opzione per attivare un denial of service o eseguire un codice arbitrario.

È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

Che cosa devo fare?

Le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

• Generazione attuale:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• Generazione precedente:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità "use-after-free". Un utente malintenzionato locale potrebbe utilizzare questa opzione per attivare un denial of service o eseguire un codice arbitrario.

È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

Che cosa devo fare?

Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità "use-after-free". Un utente malintenzionato locale potrebbe utilizzare questa opzione per attivare un denial of service o eseguire un codice arbitrario.

È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

GKE on Bare Metal non è interessato da questo CVE, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.

Aggiornamento del 16/12/2022: una versione precedente del bollettino è stata rivista a causa di una regressione della release. Esegui manualmente l'upgrade dei pool di nodi a una delle seguenti versioni GKE:

• 1.22.16-gke.1300 e versioni successive
• 1.23.14-gke.401 e versioni successive
• 1.24.7-gke.900 e versioni successive
• 1.25.4-gke.1600 e versioni successive

Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• 1.21.14-gke.9500
• 1.24.7-gke.900

A breve saranno disponibili aggiornamenti per GKE v1.22, 1.23 e 1.25. Questo bollettino sulla sicurezza verrà aggiornato non appena sarà disponibile.

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

• Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer.
• Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

Sono interessate le versioni 1.13, 1.12 e 1.11 di GKE on VMware.

Che cosa devo fare?

Aggiornamento del 16/12/2022: le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:

• 1.13.2
• 1.12.4
• 1.11.6

• Nota: le versioni di GKE on VMware che contengono patch di Container-Optimized OS verranno rilasciate a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE on VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

• Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer.
• Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

Potrebbero essere interessate le seguenti versioni di Kubernetes su AWS:

• 1.23: versioni precedenti alla 1.23.9-gke.800. Le versioni secondarie più recenti non sono interessate
• 1.22: versioni precedenti alla 1.22.12-gke.1100. Le versioni secondarie più recenti non sono interessate

Kubernetes V1.24 non è interessato.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di AWS Kubernetes:

• 1.23: una versione successiva alla v1.23.9-gke.800
• 1.22: una versione successiva alla 1.22.12-gke-1100

Quali vulnerabilità vengono affrontate?

Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer.

Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

Potrebbero essere interessate le seguenti versioni di Kubernetes su Azure:

• 1.23: versioni precedenti alla 1.23.9-gke.800. Le versioni secondarie più recenti non sono interessate.
• 1.22: versioni precedenti alla 1.22.12-gke.1100. Le versioni secondarie più recenti non sono interessate.

Kubernetes V1.24 non è interessato.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di Azure Kubernetes:

• 1.23: una versione successiva alla v1.23.9-gke.800
• 1.22: una versione successiva alla 1.22.12-gke-1100

Quali vulnerabilità vengono affrontate?

Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer.

Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

GKE on Bare Metal non è interessato da questo CVE, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Che cosa devo fare?

Non occorre alcun intervento.

In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato malintenzionato di arrestare il piano di controllo.

Che cosa devo fare?

Google Kubernetes Engine (GKE) non viene fornito con Istio e non è interessato da questa vulnerabilità. Tuttavia, se hai installato separatamente Cloud Service Mesh o Istio sul tuo cluster GKE, per ulteriori informazioni fai riferimento a GCP-2022-020, il bollettino sulla sicurezza di Cloud Service Mesh su questo CVE.

In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh in GKE on VMware, che consente a un utente malintenzionato malintenzionato di arrestare il piano di controllo Istio.

Che cosa devo fare?

Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:

• 1.11.4
• 1.12.3
• 1.13.1

Quali vulnerabilità vengono affrontate da questa patch?

Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, che consente a un utente malintenzionato malintenzionato di inviare un messaggio creato appositamente che determina l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato malintenzionato di arrestare il piano di controllo.

Che cosa devo fare?

GKE su AWS non è interessato da questa vulnerabilità e non è richiesta alcuna azione da parte tua.

In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato malintenzionato di arrestare il piano di controllo.

Che cosa devo fare?

GKE su Azure non è interessato da questa vulnerabilità e non è richiesta alcuna azione.

In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, utilizzata in Cloud Service Mesh in GKE on Bare Metal, che consente a un utente malintenzionato di arrestare il piano di controllo Istio.

Che cosa devo fare?

Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di GKE on Bare Metal:

• 1.11.7
• 1.12.4
• 1.13.1

Quali vulnerabilità vengono affrontate da questa patch?

Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, che consente a un utente malintenzionato malintenzionato di inviare un messaggio creato appositamente che determina l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali. Sono interessati i cluster Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, inclusi i cluster Autopilot, che utilizzano Container-Optimized OS versione 93 e 97. Le altre versioni di GKE supportate non sono interessate. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 14/12/2022: una versione precedente del bollettino è stata rivista a causa di una regressione della release. Esegui manualmente l'upgrade dei pool di nodi a una delle seguenti versioni GKE:

• 1.22.15-gke.2500 e versioni successive
• 1.23.13-gke.900 e versioni successive
• 1.24.7-gke.900 e versioni successive

Le seguenti versioni di GKE che utilizzano Container-Optimized OS 93 e 97 sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato gli upgrade automatici dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.15-gke.2300 e versioni successive
• 1.23.13-gke.700 e versioni successive
• 1.24.7-gke.700 e versioni successive

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzionalità ti consente di proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di release.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per denial of service (arresto anomalo del sistema) o eseguire codice arbitrario.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali.

Che cosa devo fare?

Aggiornamento 14/12/2022: le seguenti versioni di GKE su VMware per Ubuntu sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on VMware:

• 1.13.1 e versioni successive
• 1.12.3 e versioni successive
• 1.11.4 e versioni successive

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per denial of service (arresto anomalo del sistema) o eseguire codice arbitrario.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di eseguire l'escalation del privilegio di esecuzione del sistema.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. GKE su AWS non utilizza le versioni interessate del kernel Linux.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per denial of service (arresto anomalo del sistema) o eseguire codice arbitrario.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di eseguire l'escalation del privilegio di esecuzione del sistema.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. GKE su Azure non utilizza le versioni interessate del kernel Linux.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per denial of service (arresto anomalo del sistema) o eseguire codice arbitrario.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali.

Che cosa devo fare?

• Non è richiesta alcuna azione da parte tua. GKE on Bare Metal non è interessato da questo CVE, perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo.

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Google Kubernetes Engine (GKE) v1.21, inclusi i cluster Autopilot, che utilizzano Container-Optimized OS versione 89. Le versioni successive di GKE non sono interessate. Sono interessati tutti i cluster Linux con Ubuntu. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.

Aggiornamento del 15/12/2022: la versione 1.21.14-gke.9400 è in attesa di implementazione e potrebbe essere sostituita da un numero di versione successivo. Aggiorneremo questo documento quando questa nuova versione sarà disponibile.

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato gli upgrade automatici dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• Container-Optimized OS:
  • 1.21.14-gke.7100 e versioni successive
• Ubuntu:
• 1.21.14-gke.9400 e versioni successive
• 1.22.15-gke.2400 e versioni successive
• 1.23.13-gke.800 e versioni successive
• 1.24.7-gke.800 e versioni successive
• 1.25.3-gke.700 e versioni successive

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzionalità ti consente di proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale specifico di release.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per l'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo.

Che cosa devo fare?

• Le versioni di GKE su VMware con Container-Optimized OS non sono interessate.

Aggiornamento 21/11/2022: le seguenti versioni di GKE su VMware per Ubuntu sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on VMware:

• 1.12.3 e versioni successive
• 1.13.1 e versioni successive
• 1.11.5 e versioni successive

A breve verranno rilasciate le versioni di GKE on VMware che contengono patch Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE on VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per l'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo.

Che cosa devo fare?

Aggiornamento 21/11/2022: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

A breve verranno rilasciate le versioni di GKE su AWS che contengono patch Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per l'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo.

Che cosa devo fare?

Aggiornamento 21/11/2022: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

A breve verranno rilasciate le versioni di GKE su Azure che contengono patch Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza di una gestione POLLFREE può portare a exploit Use-After-Free (UAF) utilizzabili per l'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo.

Che cosa devo fare?

Non occorre alcun intervento. GKE on Bare Metal non è interessato da questo CVE, in quanto non include un sistema operativo nella sua distribuzione.

È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo.

Dettagli tecnici

Aggiornamento 21/12/2023: il bollettino originale indicava che i cluster Autopilot sono interessati, ma questo dato non è corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS (COS) che utilizzano il kernel Linux versione 5.10. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Esegui l'upgrade dei cluster GKE a una versione che includa la correzione. Le immagini dei nodi Linux per COS sono state aggiornate insieme alle versioni GKE che utilizzano queste versioni COS.

Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

versioni COS

• 1.22.12-gke.300

• 1.23.8-gke.1900

• 1.24.2-gke.1900

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-2327

È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo.

Sono interessati i cluster con un'immagine Container Optimized OS (COS) che utilizza GKE on VMware versioni 1.10, 1.11 e 1.12.

Che cosa devo fare?

Aggiornamento 14/09/2022: le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità.

• 1.10.6 o versioni successive
• 1.11.3 o versioni successive
• 1.12.1 o versioni successive

Le versioni di GKE on VMware che contengono patch verranno rilasciate a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni GKE on VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-2327

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui in varie richieste mancano tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi a root.

È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo.

Che cosa devo fare?

Aggiornamento del 14/09/2022: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on AWS:

Generazione attuale

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

Generazione precedente

• 1.23.8-gke.2000
• 1.22.12-gke.300
• 1.21.14-gke.2100

A breve verranno rilasciate le versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-2327

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui in varie richieste mancano tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi a root.

È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo.

Che cosa devo fare?

Aggiornamento del 14/09/2022: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

A breve verranno rilasciate le versioni di GKE su Azure che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-2327

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui in varie richieste mancano tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi a root.

È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una suddivisione dei container completa per eseguire il rooting sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, poiché non include un sistema operativo nella sua distribuzione.

Aggiornamento 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per Container-Optimized OS per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE future:

• 1.22.10-gke.600
• 1.23.7-gke.1400
• 1.24.1-gke.1400

Una recente funzionalità dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi quella predefinita nel canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-1786, è stato rilevato un difetto che non richiede l'uso in seguito al sottosistema io_uring del kernel Linux. Se un utente configura un anello con IORING_CONFIGURA_IOPOLL con più di un'attività che completa l'invio sul ring, un utente locale può arrestarsi in modo anomalo o aumentare i propri privilegi sul sistema.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo.

Che cosa devo fare?

Aggiornamento 21/07/2022: le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità.

COS

• 1.10.5 o versioni successive
• 1.11.2 o versioni successive
• 1.12.0 o versioni successive

Ubuntu

Non sono necessarie ulteriori azioni. GKE on VMware non utilizza le versioni interessate del kernel Linux.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su AWS non utilizza le versioni interessate del kernel Linux.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Azure non utilizza le versioni interessate del kernel Linux.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per ottenere il root sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, in quanto non include un sistema operativo nella sua distribuzione.

Aggiornamento del 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116.

Aggiornamento 29/07/2022: i pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità.

Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu).

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per Container-Optimized OS e Ubuntu per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• Container-Optimized OS:
  • 1.19.16-gke.13800
  • 1.20.15-gke.8000
  • 1.21.12-gke.1500
  • 1.22.9-gke.1300
  • 1.23.6-gke.1500
  • 1.24.1-gke.1400
• Ubuntu:
  • 1.20.15-gke.9600
  • 1.21.13-gke.900
  • 1.22.10-gke.600
  • 1.23.7-gke.1400
  • 1.24.1-gke.1400

Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi quella predefinita nel canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice.

Aggiornamento 29/07/2022: le seguenti versioni di GKE on VMware contengono codice che corregge queste vulnerabilità.

• 1.9.7 o versioni successive
• 1.10.5 o versioni successive
• 1.11.2 o versioni successive
• 1.12.0 o versioni successive

Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano GKE on VMware v1.9 e successive per Container-Optimized OS e immagini Ubuntu.

Che cosa devo fare?

A breve verranno rilasciate le versioni di GKE on VMware che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE on VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice.

Aggiornamento 29-07-2022: Aggiornamento: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

Generazione attuale:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

• 1.23.7-gke.1500
• 1.22.10-gke.1500
• 1.21.13-gke.1600

Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su AWS.

Che cosa devo fare?

A breve verranno rilasciate le versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice.

Aggiornamento 29-07-2022: Aggiornamento: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su Azure.

Che cosa devo fare?

A breve verranno rilasciate le versioni di GKE su Azure che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un uso-after-free a causa di una race condition in timeout io_uring.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi alla radice.

Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questa vulnerabilità, in quanto non include un sistema operativo nella sua distribuzione.

Aggiornamento 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati da queste vulnerabilità.

Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE future:

• 1.19.16-gke.11000 e versioni successive
• 1.20.15-gke.5200 e versioni successive
• 1.21.11-gke.1100 e versioni successive
• 1.22.8-gke.200 e versioni successive
• 1.23.5-gke.1500 e versioni successive

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666

Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

Che cosa devo fare?

Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE on VMware o più recenti contengono la correzione per questa vulnerabilità:

• 1.9.6 (imminente)
• 1.10.3
• 1.11.0 (imminente)

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666

Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

Che cosa devo fare?

Aggiornamento del 12/05/2022: le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.20.15-gke.5200
• 1.21.11-gke.1100
• 1.22.8-gke.1300

Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666

Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter() che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo.

In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un aggressore locale nel container di aumentare i privilegi di root sul nodo.

Che cosa devo fare?

Aggiornamento del 12/05/2022: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on Azure:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena sarà disponibile.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666