Todos os boletins de segurança dos seguintes produtos estão descritos nesta página:
- Google Kubernetes Engine (GKE)
- GKE no VMware
- GKE na AWS
- GKE no Azure
- GKE em Bare Metal
Geralmente, as vulnerabilidades são mantidas sob sigilo e não podem ser divulgadas até que as partes afetadas tenham a oportunidade de solucioná-las. Nesses casos, as notas de lançamento do produto mencionarão "atualizações de segurança" até que a divulgação seja liberada. No momento da liberação, as notas serão atualizadas para indicar a vulnerabilidade solucionada pelo patch.
Quando o GKE emite um boletim de segurança que se relaciona diretamente com
a configuração ou versão do cluster, podemos enviar uma notificação de cluster
SecurityBulletinEvent
com informações sobre a vulnerabilidade e as ações
que você pode realizar, se aplicável. Consulte Notificações de cluster
para mais informações sobre esse assunto.
Para mais informações sobre como o Google gerencia vulnerabilidades e patches de segurança do GKE e do GKE Enterprise, consulte Patch de segurança.
As plataformas do GKE e do GKE Enterprise não usam componentes
como ingress-nginx
e o ambiente de execução de contêiner CRI-O e não são afetadas
por nenhuma vulnerabilidades nesses componentes. Se você instalar componentes de
outras fontes, consulte as atualizações de segurança e os dispositivos de patch desses
componentes.
Use este feed XML para se inscrever nos boletins de segurança desta página.
GCP-2024-035
Publicação: 12/06/2024
Referência:
CVE-2024-26584
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas, mas não há uma versão de patch disponível. Este boletim será atualizado quando houver versões de patch disponíveis:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-034
Publicação: 11/06/2024
Referência:
CVE-2024-26583
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-033
Publicação: 10/06/2024
Referência:
CVE-2022-23222
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-031
Publicação: 24/05/2024
Referência: CVE-2024-4323
GKE;
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de um código. As versões do Bit fluente 2.0.7 a 3.0.3 foram afetadas. O GKE não usa uma versão vulnerável do Fluent Bit e não é afetado. O que devo fazer?O GKE não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhuma |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de um código. As versões do Bit fluente 2.0.7 a 3.0.3 foram afetadas. O GKE no VMware não usa uma versão vulnerável do Fluent Bit e não é afetado. O que devo fazer?O GKE no VMware não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhuma |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de um código. As versões do Bit fluente 2.0.7 a 3.0.3 foram afetadas. O GKE na AWS não usa uma versão vulnerável do Fluent Bit e não é afetado. O que devo fazer?O GKE na AWS não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de um código. As versões do Bit fluente 2.0.7 a 3.0.3 foram afetadas. O GKE no Azure não usa uma versão vulnerável do Fluent Bit e não é afetado. O que devo fazer?O GKE no Azure não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota de um código. As versões do Bit fluente 2.0.7 a 3.0.3 foram afetadas. O GKE em Bare Metal não usa uma versão vulnerável do Fluent Bit e não é afetado. O que devo fazer?O GKE em Bare Metal não é afetado por essa vulnerabilidade. Nenhuma ação é necessária. |
Nenhuma |
GCP-2024-030
Publicação: 15/05/2024
Referência:
CVE-2023-52620
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-029
Publicação: 14/05/2024
Referência:
CVE-2024-26642
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-028
Publicação: 13/05/2024
Atualizado em: 22/05/2024
Referência:
CVE-2024-26581
Atualização de 22/05/2024 : adicionamos versões de patch para os nós do Ubuntu.
GKE;
Atualizado em : 22/05/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 22/05/2024 : as versões do GKE a seguir foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as versões a seguir ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-027
Publicação: 08/05/2024
Atualizado em: 09/05/2024, 15/05/2024
Referência:
CVE-2024-26808
Atualização de 15/05/2024: adicionamos versões de patch para os pools de nós do Ubuntu do GKE.
Atualização de 09/05/2024 : corrigimos a gravidade de média para alta e esclarecemos que os clusters do Autopilot do GKE na configuração padrão não foram afetados.
GKE;
Atualizado em : 09/05/2024, 15/05/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Atualização de 09/05/2024: a gravidade foi corrigida de "Média" para "Alta".
O boletim original declarou que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 15/05/2024: as versões do GKE a seguir foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as versões a seguir ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-026
Publicação: 07/05/2024
Atualizado em: 09/05/2024
Referência:
CVE-2024-26643
Atualização de 09/05/2024 : gravidade corrigida de "Média" para "Alta".
GKE;
Atualizado em : 09/05/2024
Descrição | Gravidade |
---|---|
Atualização de 09/05/2024:gravidade corrigida de "Média" para "Alta". As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-024
Publicação: 25/04/2024
Referência:
CVE-2024-26585
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-022
Publicação: 03/04/2024
Atualizado em: 24/04/2024
Referência: CVE-2023-45288
Atualização de 24/04/2024 : versões de patch foram adicionadas para o GKE.
GKE;
Atualizado em : 24/04/2024
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados. Os clusters do Autopilot e do GKE Standard foram afetados. O que devo fazer?Atualização de 24/04/2024:versões de patch foram adicionadas para o GKE. As versões do GKE a seguir incluem os patches de segurança da Golang para corrigir essa vulnerabilidade. Faça upgrade dos clusters do GKE para as seguintes versões ou versões posteriores:
O projeto Golang lançou patches em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Reduzir a configuração de redes autorizadas para acesso ao plano de controle:É possível mitigar os clusters dessa classe de ataques configurando redes autorizadas. Siga as instruções para ativar redes autorizadas em um cluster atual. Para saber como as redes autorizadas controlam o acesso ao plano de controle, consulte Como funcionam as redes autorizadas. Para conferir o acesso à rede autorizado padrão, confira a tabela na seção Acesso aos endpoints do plano de controle. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Google Kubernetes Engine (GKE). O que devo fazer?O projeto Golang lançou patches em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE no VMware que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Google Kubernetes Engine (GKE). O que devo fazer?O projeto Golang lançou patches em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE na AWS que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Google Kubernetes Engine (GKE). O que devo fazer?O projeto Golang lançou patches em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE nos Azure que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Google Kubernetes Engine (GKE). O que devo fazer?O projeto Golang lançou patches em 3 de abril de 2024. Vamos atualizar este boletim quando as versões do GKE em bare metal que incorporam esses patches estiverem disponíveis. Para solicitar um patch em um cronograma acelerado, entre em contato com o suporte. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade (CVE-2023-45288) permite que um invasor execute um ataque DoS no plano de controle do Kubernetes. |
Alto |
GCP-2024-018
Publicação: 12/03/2024
Atualizado em: 06/05/2024
Referência:
CVE-2024-1085
Atualização de 06/05/2024 : adicionamos versões de patch para os pools de nós do GKE Ubuntu e removemos um elemento de linha horizontal extra da atualização de 04/04/2024.
Atualização de 04/04/2024: versões mínimas corrigidas para pools de nós do GKE Container-Optimized OS.
GKE;
Atualizado em : 06/05/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 06/05/2024:as versões do GKE a seguir foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para as versões a seguir ou mais recentes.
Atualização de 04/04/2024: versões mínimas corrigidas para pools de nós do GKE Container-Optimized OS. As versões mínimas do GKE contendo as correções do Container-Optimized OS listadas anteriormente estavam incorretas. As seguintes versões do GKE são atualizadas com código para corrigir essa vulnerabilidade no Container-Optimized OS. Faça upgrade dos pools de nós do Container-Optimized OS para as versões a seguir ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-017
Publicação: 06/03/2024
Referência:
CVE-2023-3611
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-014
Publicação: 26/02/2024
Referência:
CVE-2023-3776
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-013
Publicação: 23/02/2024
Referência:
CVE-2023-3610
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-012
Publicação: 20/02/2024
Referência:
CVE-2024-0193
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-011
Publicação: 15/02/2024
Referência:
CVE-2023-6932
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-010
Publicação: 14/02/2024
Atualizado em: 17/04/2024
Referência:
CVE-2023-6931
Atualização de 17/04/2024 : versões de patch foram adicionadas para o GKE no VMware.
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Atualizado em : 17/04/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Atualização de 17/04/2024: versões de patch foram adicionadas para o GKE no VMware. O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou versões posteriores:
|
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-008
Publicação: 12/02/2024
Referência: CVE-2023-5528
GKE;
Descrição | Gravidade |
---|---|
A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós. Os clusters do GKE Standard que executam nós do Windows Server e usam um plug-in de armazenamento em árvore podem ser afetados. Os clusters do GKE Autopilot e pools de nós do GKE que usam o GKE Sandbox não são afetados porque não são compatíveis com os nós do Windows Server. O que devo fazer?Determine se há nós do Windows Server em uso nos clusters: kubectl get nodes -l kubernetes.io/os=windows Verificar registros de auditoria para evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados para determinar se essa vulnerabilidade está sendo explorada. Os eventos de criação de volumes permanentes com campos de caminho local que contêm caracteres especiais são uma forte indicação de exploração. Atualize o cluster do GKE e os pools de nós para uma versão com patch. As versões do GKE a seguir foram atualizadas para corrigir essa vulnerabilidade. Mesmo que o upgrade automático de nós esteja ativado, é recomendável fazer o upgrade manual dos pools de nós do cluster e do Windows Server para uma das seguintes versões do GKE ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós. Os clusters do GKE no VMware que executam nós do Windows Server e usam um plug-in de armazenamento em árvore podem ser afetados. O que devo fazer?Determine se há nós do Windows Server em uso nos clusters: kubectl get nodes -l kubernetes.io/os=windows Verificar registros de auditoria para evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados para determinar se essa vulnerabilidade está sendo explorada. Os eventos de criação de volumes permanentes com campos de caminho local que contêm caracteres especiais são uma forte indicação de exploração. Atualize o cluster e os pools de nós do GKE no VMware para uma versão com patch. As versões a seguir do GKE na VMware foram atualizadas para corrigir essa vulnerabilidade. Mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça o upgrade manual do cluster e dos pools de nós do Windows Server para uma destas versões do GKE no VMware ou mais recentes:
Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós. Os clusters do GKE na AWS não são afetados. O que devo fazer?Nenhuma ação necessária |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós. Os clusters do GKE no Azure não são afetados. O que devo fazer?Nenhuma ação necessária |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós. Os clusters do GKE em Bare Metal não são afetados. O que devo fazer?Nenhuma ação necessária |
Nenhuma |
GCP-2024-005
Publicação: 31/01/2024
Atualizado em: 06/05/2024
Referência: CVE-2024-21626
Atualização de 06/05/2024: adicionamos versões de patch para o GKE na AWS e no Azure.
Atualização de 02/04/2024: foram adicionadas versões de patch para o GKE em Bare Metal
Atualização de 06/03/2024: foram adicionadas versões de patch para o GKE no VMware
Atualização de 28/02/2024: versões de patch não íntegras do Ubuntu
Atualização de 2024-02-15: foi esclarecido que as versões de patch 1.26 e 1 do Ubuntu 2 podem causar
a atualização dos nós 1.20-4.
Atualização de 14/02/2024: adicionamos versões de patch para Ubuntu
Atualização de 06/02/2024: adicionamos versões de patch para o Container-Optimized OS.
GKE;
Atualizado em : 06/03/2024
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 28/02/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
Atualização de 15/02/2024: devido a um problema, as seguintes versões de patch do Ubuntu da atualização de 14/02/2024 podem fazer com que seus nós entrem em um estado não íntegro. Não faça upgrade para as versões de patch a seguir. Este boletim será atualizado quando versões de patch mais recentes para o Ubuntu estiverem disponíveis para as versões 1.25 e 1.26.
Se você já tiver feito upgrade para uma dessas versões de patch, faça downgrade manual do pool de nós para uma versão anterior no canal de lançamento. Atualização de 14/02/2024: as versões do GKE a seguir foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
Atualização de 06/02/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Container-Optimized OS. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça upgrade manualmente do cluster e dos pools de nós do Container-Optimized OS para uma das seguintes versões do GKE ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. Estamos atualizando o GKE com um código para corrigir essa vulnerabilidade. Este boletim será atualizado quando houver versões de patch disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE no VMware
Atualizado em : 06/03/2024
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em O que devo fazer?Atualização de 06/03/2024: as seguintes versões do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou versões posteriores:
As versões de patch e uma avaliação de gravidade do GKE no VMware estão em andamento. Este boletim será atualizado com essas informações assim que estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE na AWS
Atualizado em : 06/05/2024
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em O que devo fazer?Atualização de 06/05/2024: as seguintes versões do GKE na AWS foram atualizadas com patches para CVE-2024-21626:
As versões de patch e uma avaliação de gravidade para o GKE na AWS estão em andamento. Este boletim será atualizado com essas informações assim que estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE no Azure
Atualizado em : 06/05/2024
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em O que devo fazer?Atualização de 06/05/2024: as seguintes versões do GKE no Azure foram atualizadas com patches para CVE-2024-21626:
As versões de patch e uma avaliação de gravidade para o GKE no Azure estão em andamento. Este boletim será atualizado com essas informações assim que estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE em Bare Metal
Atualizado em : 02/04/2024
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em O que devo fazer?Atualização de 02/04/2024: as seguintes versões do GKE em Bare Metal a seguir foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou versões posteriores:
As versões de patch e uma avaliação de gravidade para o GKE em Bare Metal estão em andamento. Este boletim será atualizado com essas informações assim que estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GCP-2024-004
Publicação: 24/01/2024
Atualizado em: 07/02/2024
Referência:
CVE-2023-6817
Atualização de 07/02/2024 : adicionamos versões de patch para o Ubuntu.
GKE;
Atualizado em : 07/02/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 07/02/2024:as versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2024-003
Publicação: 19/01/2024
Atualização: 26/01/2024
Atualização de 26/01/2024: esclarecimento do número de clusters afetados e as ações que tomamos para ajudar a reduzir o impacto.
GKE;
Atualizado em : 26/01/2024
Descrição | Gravidade |
---|---|
Atualização de 26/01/2024: a pesquisa de segurança que encontrou um pequeno número de clusters do GKE com uma configuração incorreta criada pelo cliente envolvendo o grupo Identificamos vários clusters em que os usuários concederam privilégios
do Kubernetes ao grupo Recentemente, um pesquisador de segurança relatou descobertas de clusters com configurações incorretas do RBAC no nosso programa de relatórios de vulnerabilidades. A abordagem do Google para autenticação é tornar a autenticação no Google Cloud e
no GKE o mais simples e segura possível, sem adicionar etapas de configuração complexas.
A autenticação informa quem o usuário é. A Autorização é onde o acesso é determinado. Portanto, o grupo Com isso em mente, tomamos várias medidas para reduzir o risco de usuários
cometerem erros de autorização com os usuários e grupos integrados
do Kubernetes, incluindo Para proteger os usuários contra erros de autorização acidental com esses usuários/grupos do sistema, temos:
Os clusters que aplicam restrições a redes
autorizadas têm uma primeira camada de defesa: não podem ser atacados
diretamente da Internet. No entanto, ainda recomendamos remover essas vinculações para fins de
defesa em profundidade e para proteger contra erros nos controles de rede. Estamos investigando maneiras de proteger ainda mais contra a configuração incorreta do RBAC com esses usuários/grupos do sistema por meio de prevenção e detecção. O que devo fazer?Para evitar que qualquer nova vinculação de As vinculações atuais precisam ser revisadas seguindo esta orientação. |
Média |
GKE no VMware
Não há atualizações no momento.
GKE na AWS
Não há atualizações no momento.
GKE no Azure
Não há atualizações no momento.
GKE em Bare Metal
Não há atualizações no momento.
GCP-2024-002
Publicação: 17/01/2024
Atualizado em: 20/02/2024
Referência:
CVE-2023-6111
Atualização de 20/02/2024: versões de patch adicionadas para o GKE no VMware.
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Atualizado em : 20/02/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
O que devo fazer?Atualização de 20/02/2024:as seguintes versões do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou versões posteriores: 1.28.100 |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-051
Publicação: 28/12/2023
Referência:
CVE-2023-3609
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-050
Publicação: 27/12/2023
Referência:
CVE-2023-3389
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-049
Publicação: 20/12/2023
Referência:
CVE-2023-3090
GKE;
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Os clusters do GKE Standard foram afetados. Os clusters
do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar
vulneráveis se você definir explicitamente o perfil Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-048
Publicação: 15/12/2023
Atualizado em: 21/12/2023
Referência:
CVE-2023-3390
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
GKE;
Atualizado em : 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-047
Publicado : 14/12/2023
GKE;
Descrição | Gravidade |
---|---|
Um invasor que tenha comprometido o contêiner de geração de registros do Fluent Bit pode combinar esse acesso com altos privilégios exigidos pelo Cloud Service Mesh (em clusters que o ativaram) para escalonar privilégios no cluster. Os problemas com o Fluent Bit e o Cloud Service Mesh foram atenuados, e as correções já estão disponíveis. Essas vulnerabilidades não podem ser exploradas por conta própria no GKE e exigem um comprometimento inicial. Não temos conhecimento de nenhum exemplo de exploração dessas vulnerabilidades. Esses problemas foram relatados por meio do nosso Programa de recompensa para descobertas de vulnerabilidades. O que devo fazer?As seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades no Fluent Bit e para usuários do Cloud Service Mesh gerenciado. Por fins de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos fazer upgrade manual do cluster e dos pools de nós para uma destas versões do GKE ou posteriores:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem ter que cancelar a inscrição em um canal. Isso permite proteger os nós até que a nova versão se torne o padrão para seu canal de lançamento específico Se o cluster usar o Cloud Service Mesh no cluster, faça o upgrade manual para uma das seguintes versões (notas de lançamento):
Quais vulnerabilidades estão sendo corrigidas por esse patch? As vulnerabilidades abordadas neste boletim exigem que um invasor comprometa o contêiner de geração de registros do Fluent Bit. Não estamos cientes de nenhuma vulnerabilidade existente no Fluent Bit que possa levar a essa condição de pré-requisito para o escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro. O GKE usa o Fluent Bit para processar registros de cargas de trabalho executadas em clusters. O Fluent Bit no GKE também foi configurado para coletar registros das cargas de trabalho do Cloud Run. A montagem do volume configurada para coletar esses registros deu ao Fluent Bit acesso aos tokens da conta de serviço do Kubernetes para outros pods em execução no nó. O pesquisador usou esse acesso para descobrir um token de conta de serviço altamente privilegiado para clusters que têm o Cloud Service Mesh ativado. O Cloud Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a criação e a exclusão de pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Cloud Service Mesh para escalonar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster Removemos o acesso do Fluent Bit aos tokens da conta de serviço e reformulamos a funcionalidade do Cloud Service Mesh para remover os privilégios excedentes. |
Média |
GKE no VMware
Descrição | Gravidade |
---|---|
Apenas clusters do GKE no VMware que usam o Cloud Service Mesh são afetados. O que devo fazer?Se o cluster usar o Cloud Service Mesh no cluster, será preciso fazer upgrade manualmente para uma das seguintes versões (notas de lançamento):
Quais vulnerabilidades são corrigidas por esse patch?As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro comprometa ou saia de um contêiner ou tenha raiz em um nó do cluster. Não estamos cientes de nenhuma vulnerabilidades existentes que possam levar a essa condição de pré-requisito para escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro. O Cloud Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a criação e a exclusão de pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Cloud Service Mesh para ampliar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster. Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos. |
Média |
GKE na AWS
Descrição | Gravidade |
---|---|
Apenas os clusters do GKE na AWS que usam o Cloud Service Mesh serão afetados. O que devo fazer?Se o cluster usa o Cloud Service Mesh no cluster, é necessário fazer upgrade manualmente para uma das seguintes versões (notas de lançamento):
Quais vulnerabilidades são corrigidas por esse patch?As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro comprometa ou saia de um contêiner ou tenha raiz em um nó do cluster. Não estamos cientes de nenhuma vulnerabilidades que possam levar a essa condição de pré-requisito para o escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro. O Cloud Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a criação e a exclusão de pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Cloud Service Mesh para ampliar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster. Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos. |
Média |
GKE no Azure
Descrição | Gravidade |
---|---|
Apenas os clusters do GKE no Azure que usam o Cloud Service Mesh serão afetados. O que devo fazer?Se o cluster usa o Cloud Service Mesh no cluster, é necessário fazer upgrade manualmente para uma das seguintes versões (notas de lançamento):
Quais vulnerabilidades são corrigidas por esse patch?As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro comprometa ou saia de um contêiner ou tenha raiz em um nó do cluster. Não estamos cientes de nenhuma vulnerabilidades que possam levar a essa condição de pré-requisito para o escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro. O Cloud Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a criação e a exclusão de pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Cloud Service Mesh para ampliar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster. Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos. |
Média |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Apenas os clusters do GKE em bare metal que usam o Cloud Service Mesh são afetados. O que devo fazer?Se o cluster usar o Cloud Service Mesh no cluster, será preciso fazer upgrade manualmente para uma das seguintes versões (notas de lançamento):
Quais vulnerabilidades são corrigidas por esse patch?As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro comprometa ou saia de um contêiner ou tenha raiz em um nó do cluster. Não estamos cientes de nenhuma vulnerabilidades que possam levar a essa condição de pré-requisito para o escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro. O Anthos Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Cloud Service Mesh para ampliar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster. Reformulamos a funcionalidade do Cloud Service Mesh para remover privilégios excessivos. |
Média |
GCP-2023-046
Publicação: 22/11/2023
Atualizado em: 04/03/2024
Referência:
CVE-2023-5717
Atualização de 04/03/2024 : foram adicionadas versões do GKE para o GKE no VMware.
Atualização de 22/01/2024 : adicionamos versões de patch do Ubuntu.
GKE;
Atualizado em : 22/01/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 22/01/2024: as versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Atualizado em : 29/02/2024
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Atualização de 04/03/2024: as seguintes versões do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes:
|
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-045
Publicação: 20/11/2023
Atualizado em: 21/12/2023
Referência:
CVE-2023-5197
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
GKE;
Atualizado em : 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir Os clusters do GKE Standard e do Autopilot foram afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:
As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-042
Publicação: 13/11/2023
Atualizado em: 15/11/2023
Referência:
CVE-2023-4147
Atualização de 15/11/2023 : esclarece que apenas as versões secundárias listadas precisam fazer upgrade para uma versão com patch correspondente para o GKE.
GKE;
Atualizado em : 15/11/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE não são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 15/11/2023: só será necessário fazer upgrade para uma das versões com patch listadas neste boletim se você usar essa versão secundária nos seus nós. Por exemplo, se você usar a versão 1.27 do GKE, será necessário fazer upgrade para a versão com patch correspondente. No entanto, se você usar a versão 1.24 do GKE, não vai precisar fazer upgrade para uma versão com patch. Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-041
Publicação: 08/11/2023
Atualizado em: 21/11/2023, 05/12/2023, 21/12/2023
Referência:
CVE-2023-4004
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
Atualização de 05/12/2023 : outras versões do GKE foram adicionadas para os pools de nós do Container-Optimized OS.
Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE;
Atualizado : 21/11/2023, 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir clusters do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 05/12/2023: algumas versões do GKE estavam ausentes. Esta é uma lista atualizada das versões do GKE para as quais é possível atualizar o Container-Optimized OS:
Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-040
Publicação: 06/11/2023
Atualizado em: 21/11/2023, 21/12/2023
Referência:
CVE-2023-4921
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE;
Atualizado em : 21/11/2023, 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir clusters do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-039
Publicação: 06/11/2023
Atualizado em: 21/11/2023, 16/11/2023
Referência:
CVE-2023-4622
Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
Atualização de 16/11/2023 : a vulnerabilidade associada a este boletim de segurança é a CVE-2023-4622. A CVE-2023-4623 foi listada incorretamente como a vulnerabilidade em uma versão anterior do boletim de segurança.
GKE;
Atualizado em : 21/11/2023, 16/11/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
clusters do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Atualizado em : 16/11/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Atualizado em : 16/11/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Atualizado em : 16/11/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Atualizado em : 16/11/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-038
Publicação: 06/11/2023
Atualizado em: 21/11/2023, 21/12/2023
Referência:
CVE-2023-4623
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE;
Atualizado em : 21/11/2023, 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir clusters do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-037
Publicação: 06/11/2023
Atualizado em: 21/11/2023, 21/12/2023
Referência:
CVE-2023-4015
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE;
Atualizado em : 21/11/2023, 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir clusters do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Pendente |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2023-035
Publicação: 26/10/2023
Atualizado em 21/11/2023, 21/12/2023
Referência:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE;
Atualizado em : 21/11/2023, 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir clusters do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
Alto |
GCP-2023-033
Publicação: 24/10/2023
Atualizado em: 21/11/2023, 21/12/2023
Referência:
CVE-2023-3777
Atualização de 21/12/2023 : esclarece que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados e que as cargas de trabalho do GKE Sandbox não serão.
Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.
GKE;
Atualizado em : 21/11/2023, 21/12/2023
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir clusters do Autopilot são afetados. Clusters que usam o GKE Sandbox são afetados. O que devo fazer?Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas. Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:
Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:
|
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
GKE na AWS
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
GKE no Azure
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer? |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
O que devo fazer?Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição. |
GCP-2023-030
Publicação: 10/10/2023
Atualizado em: 20/03/2024
Referência: CVE-2023-44487CVE-2023-39325
Atualização de 20/03/2024: versões de patch adicionadas para GKE na AWS e GKE no Azure
Atualização de 14/02/2024: versões de patch adicionadas
para o GKE no VMware
Atualização de 09/11/2023: adicionada CVE-2023-39325. Atualização das versões do GKE
com os patches mais recentes para CVE-2023-44487 e CVE-2023-39325.
GKE;
Atualizado em : 09/11/2023
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados. O que devo fazer?Atualização de 09/11/2023: lançamos novas versões do GKE que incluem os patches de segurança para Go e Kubernetes, que podem ser atualizados nos seus clusters agora. Nas próximas semanas, vamos lançar outras mudanças no plano de controle do GKE para reduzir ainda mais esse problema. As seguintes versões do GKE foram atualizadas com patches para CVE-2023-44487 e CVE-2023-39325:
Recomendamos que você aplique a mitigação a seguir assim que possível e faça upgrade para a versão com patch mais recente, quando disponível. Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre qual versão fazer o upgrade do seu plano de controle. Também vamos tornar os patches visíveis na postura de segurança do GKE, quando disponíveis para seu cluster. Para receber uma notificação do Pub/Sub quando um patch estiver disponível para seu canal, ative as notificações de cluster. Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Mitigar configurando redes autorizadas para acesso ao plano de controle: É possível adicionar redes autorizadas aos clusters atuais. Para saber mais, consulte Rede autorizada para clusters atuais. Além das redes autorizadas adicionadas, há endereços IP predefinidos que podem acessar o plano de controle do GKE. Para saber mais sobre esses endereços, consulte Acesso aos endpoints do plano de controle. Os itens a seguir resumem o isolamento de clusters:
Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-44487, permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do GKE. |
Alto |
GKE no VMware
Atualizado em : 14/02/2024
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Kubernetes. O GKE no VMware cria clusters do Kubernetes que, por padrão, não podem ser acessados diretamente pela Internet e são protegidos contra essa vulnerabilidade. O que devo fazer?Atualização de 14/02/2024 : as versões a seguir do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões de patch ou mais recentes:
Se você configurou seus clusters do Kubernetes no GKE no VMware para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador do firewall para bloquear ou limitar esse acesso. Recomendamos que você faça upgrade para a versão de patch mais recente, quando disponível, o mais rápido possível. Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Kubernetes. O GKE na AWS cria clusters particulares do Kubernetes que não são diretamente acessíveis à Internet por padrão e são protegidos contra essa vulnerabilidade. O que devo fazer?Atualização de 20/03/2024: as seguintes versões do GKE na AWS foram atualizadas com patches para CVE-2023-44487:
Se você configurou o GKE na AWS para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador de firewall para bloquear ou limitar esse acesso. Recomendamos que você faça upgrade para a versão de patch mais recente, quando disponível, o mais rápido possível. Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Kubernetes. O GKE no Azure cria clusters particulares do Kubernetes que, por padrão, não podem ser acessados diretamente pela Internet e são protegidos contra essa vulnerabilidade. O que devo fazer?Atualização de 20/03/2024: as seguintes versões do GKE no Azure foram atualizadas com patches para CVE-2023-44487:
Se você configurou os clusters do GKE no Azure para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador do firewall para bloquear ou limitar esse acesso. Recomendamos que você faça upgrade para a versão de patch mais recente, quando disponível, o mais rápido possível. Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes. |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Kubernetes. O Anthos em Bare Metal cria clusters do Kubernetes que não são diretamente acessíveis à Internet por padrão e são protegidos contra essa vulnerabilidade. O que devo fazer?Se você configurou os clusters do Kubernetes do Anthos em bare metal para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador do firewall para bloquear ou limitar esse acesso. Para saber mais, consulte a Visão geral da segurança do GKE em Bare Metal. Recomendamos que você faça upgrade para a versão de patch mais recente, quando disponível, o mais rápido possível. Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes. |
Alto |
GCP-2023-026
Publicação: 06/09/2023
Referência: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE;
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes. Os clusters do GKE só serão afetados se incluírem nós do Windows. O que devo fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça upgrade manualmente do cluster e dos pools de nós para uma destas versões do GKE:
O plano de controle do GKE será atualizado na semana de 04/09/2023 para atualizar o
csi-proxy para a versão 1.1.3. Se você atualizar os nós antes da atualização do plano de controle,
precisará atualizá-los novamente após a atualização para aproveitar o novo
proxy. É possível atualizar os nós novamente, mesmo sem alterar a versão, executando o comando Um recurso recente dos canais de lançamento permite que você aplique um patch sem ter que cancelar a inscrição em um canal. Isso permite que você proteja seus nós até que a nova versão se torne o padrão para seu canal de lançamento específico. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-3676, um agente malicioso pode criar uma especificação de pod com strings de caminho do host que contêm comandos do PowerShell. O kubelet não tem limpeza de entrada e passa essa string de caminho elaborada para o executor de comando como um argumento em que ele executaria partes da string como comandos separados. Esses comandos seriam executados com os mesmos privilégios administrativos do Kubelet. Com a CVE-2023-3955, o Kubelet concede aos usuários capazes de criar pods a capacidade de executar o código no mesmo nível de permissão que o agente do Kubelet, permissões privilegiadas. Com a CVE-2023-3893, uma falta semelhante de limpeza de entradas permite que um usuário capaz de criar pods em nós do Windows que executam o kubernetes-csi-proxy para encaminhar privilégios de administrador nesses nós. Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Eventos de criação de pods com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e Secrets que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes. os clusters só vão ser afetados se incluírem nós do Windows. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-3676, um agente malicioso pode criar uma especificação de pod com strings de caminho do host que contêm comandos do PowerShell. O kubelet não tem limpeza de entrada e passa essa string de caminho elaborada para o executor de comando como um argumento em que ele executaria partes da string como comandos separados. Esses comandos seriam executados com os mesmos privilégios administrativos do Kubelet. Com a CVE-2023-3955, o Kubelet concede aos usuários capazes de criar pods a capacidade de executar o código no mesmo nível de permissão que o agente do Kubelet, permissões privilegiadas. Com a CVE-2023-3893, uma falta semelhante de limpeza de entradas permite que um usuário capaz de criar pods em nós do Windows que executam o kubernetes-csi-proxy para encaminhar privilégios de administrador nesses nós. Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Eventos de criação de pods com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e Secrets que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes. O que devo fazer?O GKE na AWS não é afetado por essas CVEs. Você não precisa fazer nada. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes. O que devo fazer?O GKE no Azure não é afetado por essas CVEs. Você não precisa fazer nada. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes. O que devo fazer?O GKE em Bare Metal não é afetado por essas CVEs. Você não precisa fazer nada. |
Nenhuma |
GCP-2023-018
Data de publicação: 27/06/2023
Referência: CVE-2023-2235
GKE;
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS são afetados. Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox. O que devo fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no VMware foram afetados. O que devo fazer?Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS foram afetados. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no Azure foram afetados. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação. |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE. O que devo fazer?Nenhuma ação é necessária. |
Nenhuma |
GCP-2023-017
Data de publicação: 26/06/2023
Data de atualização: 11/07/2023
Referência: CVE-2023-31436
Atualização de 11/07/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436.
GKE;
Data de atualização: 11/07/2023
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 11/07/2023: versões de patch do Ubuntu estão disponíveis. As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436:
O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no VMware foram afetados. O que devo fazer?Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS foram afetados. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no Azure foram afetados. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema. |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE. O que devo fazer?Nenhuma ação é necessária. |
Nenhuma |
GCP-2023-016
Data de publicação: 26/06/2023
Referência:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
CVE-2023-27491,
CVE-2023-27487
GKE;
Descrição | Gravidade |
---|---|
Várias vulnerabilidades foram descobertas no Envoy, que é usado no Cloud Service Mesh (ASM). Elas foram relatadas separadamente como GCP-2023-002. O GKE não é enviado com o ASM e não é afetado por essas vulnerabilidades. O que devo fazer?Se você instalou o ASM separadamente para os clusters do GKE, consulte GCP-2023-002. |
Nenhuma |
GKE no VMware
Descrição | Gravidade |
---|---|
Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 e CVE-2023-27487 no serviço de rede mesh do Envoy no Envoy da malha de autenticação no Eles foram informados separadamente como GCP-2023-002, mas queremos garantir que os clientes do GKE Enterprise atualizem as versões que incluem o ASM. O que devo fazer?O código das seguintes versões do GKE na VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:
Quais vulnerabilidades são corrigidas por esse patch?CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy. CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado. CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN. CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas. CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.
CVE-2023-27487: o cabeçalho |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 e CVE-2023-27487 no Cloud Envoy. Elas foram relatadas separadamente como GCP-2023-002. O GKE na AWS não é fornecido com o ASM e não é afetado. O que devo fazer?Nenhuma ação é necessária. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 e CVE-2023-27487 no Cloud Envoy. Elas foram relatadas separadamente como GCP-2023-002. O GKE no Azure não é fornecido com o ASM e não é afetado. O que devo fazer?Nenhuma ação é necessária. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, CVE-2023-27487, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487 para desviar do serviço mal-intencionado do GKE Eles foram informados separadamente como GCP-2023-002, mas queremos garantir que os clientes do GKE Enterprise atualizem as versões que incluem o ASM. O que devo fazer?As seguintes versões do GKE em Bare Metal foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE em Bare Metal:
Quais vulnerabilidades são corrigidas por esse patch?CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy. CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado. CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN. CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas. CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.
CVE-2023-27487: o cabeçalho |
Alto |
GCP-2023-015
Data de publicação: 20/06/2023
Referência: CVE-2023-0468
GKE;
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que devo fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades estão sendo resolvidas?Na CVE-2023-0468, foi encontrada uma falha de uso após a liberação em io_uring/poll.c, em io_poll_check_events, no subcomponente de io_uring do Kernel do Linux. Essa falha pode causar uma desreferência de ponteiro NULL e, possivelmente, uma falha do sistema que leva à negação de serviço. |
Média |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. O GKE no VMware usa a versão 5.4 do kernel do Linux e não é afetado por essa CVE. O que devo fazer?
|
Nenhuma |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. O GKE na AWS não é afetado por essa CVE. O que devo fazer?
|
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. O GKE no Azure não é afetado por essa CVE. O que devo fazer?
|
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE. O que devo fazer?
|
Nenhuma |
GCP-2023-014
Publicação: 15/06/2023
Atualizado em: 11/08/2023
Referência: CVE-2023-2727, CVE-2023-2728
Atualização de 11/08/2023 : foram adicionadas versões de patch para GKE no VMware, GKE na AWS, GKE no Azure e GKE em bare metal
GKE;
Descrição | Gravidade |
---|---|
Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728). O GKE não usa o ImagePolicyWebhook e não é afetado pela CVE-2023-2727. Todas as versões do GKE são vulneráveis a CVE-2023-2728.O que devo fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico. Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GKE no VMware
Atualizado em : 11/08/2023
Descrição | Gravidade |
---|---|
Dois novos problemas de segurança foram descobertos no Kubernetes, em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O Anthos no VMware não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727. Todas as versões do Anthos no VMware são vulneráveis a CVE-2023-2728. O que devo fazer?Atualização de 11/08/2023:as seguintes versões do GKE no VMware foram atualizadas com um código para corrigir essa vulnerabilidade. Faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GKE na AWS
Atualizado em : 11/08/2023
Descrição | Gravidade |
---|---|
Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O que devo fazer?Atualização de 11/08/2023:a versão do GKE a seguir na AWS foi atualizada com o código para corrigir essa vulnerabilidade. Faça upgrade dos seus nós para a seguinte versão do GKE na AWS:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GKE no Azure
Atualizado em : 11/08/2023
Descrição | Gravidade |
---|---|
Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O que devo fazer?Atualização de 11/08/2023:a versão do GKE no Azure a seguir foi atualizada com um código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE no Azure:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GKE em Bare Metal
Atualizado em : 11/08/2023
Descrição | Gravidade |
---|---|
Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O que devo fazer?Atualização de 11/08/2023:as seguintes versões do Google Distributed Cloud Virtual para Bare Metal foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos seus nós para uma destas versões do Google Distributed Cloud Virtual para Bare Metal:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições. Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:
|
Média |
GCP-2023-009
Data de publicação: 06/06/2023
Referência: CVE-2023-2878
GKE;
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE não é afetado por essa CVE. O que devo fazer?Embora o GKE não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhuma |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE no VMware não é afetado por essa CVE. O que devo fazer?Embora o GKE no VMware não seja afetado, se você instalou o componente secrets-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhuma |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE na AWS não é afetado por essa CVE. O que devo fazer?Embora o GKE na AWS não seja afetado, se você instalou o componente secrets-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE no Azure não é afetado por essa CVE O que devo fazer?Embora o GKE no Azure não seja afetado, se você instalou o componente secrets-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. O GKE em Bare Metal não é afetado por essa CVE. O que devo fazer?Embora o GKE em Bare Metal não seja afetado, se você instalou o componente secrets-store-csi-driver, atualize a instalação com uma versão com patch. Quais vulnerabilidades são corrigidas por esse patch?A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v. |
Nenhuma |
GCP-2023-008
Data de publicação: 05/06/2023
Referência: CVE-2023-1872
GKE;
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. Os clusters do GKE Standard e do Autopilot são afetados. Os clusters que usam o GKE Sandbox não são afetados. O que devo fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. O que devo fazer?O código das seguintes versões do GKE na AWS foi atualizado para corrigir essas vulnerabilidades: Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. O que devo fazer?O código das seguintes versões do GKE no Azure foi atualizado para corrigir essas vulnerabilidades: Quais vulnerabilidades são corrigidas por esse patch?A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. O GKE em Bare Metal não é afetado por essa CVE. O que devo fazer?Você não precisa fazer nada. |
Nenhuma |
GCP-2023-005
Data de publicação: 18/05/2023
Data de atualização: 06/06/2023
Referência: CVE-2023-1281, CVE-2023-1829
Atualização de 06/06/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829.
GKE;
Data de atualização: 06/06/2023
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. Os clusters do GKE Standard são afetados. Os clusters do GKE Autopilot e os que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 06/06/2023: versões de patch do Ubuntu estão disponíveis. As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829:
O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de controle de tráfego do Linux (tcindex), que podem ser exploradas para alcançar o escalonamento de privilégios locais. Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados. Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais. Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados. Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais. Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados. Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. O que devo fazer?Quais vulnerabilidades são corrigidas por esse patch?Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais. Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados. Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. O GKE em Bare Metal não é afetado por essa CVE. O que devo fazer?Você não precisa fazer nada. |
Nenhuma |
GCP-2023-003
Publicação: 11/04/2023
Atualizado em: 21/12/2023
Referência: CVE-2023-0240,
CVE-2023-23586
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
GKE;
Atualizado em : 21/12/2023
Descrição | Gravidade |
---|---|
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE, incluindo os clusters do Autopilot, com o COS usando o kernel do Linux versão 5.10 até 5.10.162 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados. O que devo fazer?As versões do GKE a seguir foram atualizadas com código para corrigir essas vulnerabilidades. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Vulnerabilidade 1 (CVE-2023-0240): uma disputa em Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE no VMware com COS que usam a versão 5.10 do kernel do Linux até 5.10.162 foram afetados. Os clusters do GKE Enterprise que usam imagens do Ubuntu não são afetados. O que devo fazer?As seguintes versões do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades:
Quais vulnerabilidades são corrigidas por esse patch?Vulnerabilidade 1 (CVE-2023-0240): uma disputa em Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE na AWS não é afetado por essas CVEs. O que devo fazer?Você não precisa fazer nada. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE no Azure não é afetado por essas CVEs O que devo fazer?Você não precisa fazer nada. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE em Bare Metal não é afetado por essas CVEs. O que devo fazer?Você não precisa fazer nada. |
Nenhuma |
GCP-2023-001
Publicação: 01/03/2023
Atualizado em: 21/12/2023
Referência: CVE-2022-4696
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
GKE;
Descrição | Gravidade |
---|---|
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que devo fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos seus clusters e pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE no VMware que executa as versões 1.12 e v1.13 foi afetado. O GKE on VMware executando a v1.14 ou posterior não foi afetado. O que devo fazer?O código das seguintes versões do GKE na VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:
Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE na AWS não é afetado por essa vulnerabilidade. O que devo fazer?Nenhuma ação é necessária. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE no Azure não é afetado por essa vulnerabilidade. O que devo fazer?Nenhuma ação é necessária. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em Bare Metal não é afetado por essa vulnerabilidade. O que devo fazer?Nenhuma ação é necessária. |
Nenhuma |
GCP-2022-026
Publicado: 11-01-2023
Referência: CVE-2022-3786, CVE-2022-3602
GKE;
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. Embora ela tenha sido avaliada como alta no banco de dados do NVD, os endpoints do GKE usam boringSSL ou uma versão mais antiga do OpenSSL que não é afetada. Portanto, a classificação foi reduzida a média para o GKE. O que fazer?O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3786 e a CVE-2022-3602, uma sobrecarga de buffer pode ser acionada na verificação de certificado X.509, o que pode causar uma falha que resultará em negação de serviço. Para ser explorada, essa vulnerabilidade exige que uma CA assine um certificado malicioso ou que um aplicativo continue a verificação do certificado, mesmo que não seja possível criar um caminho para um emissor confiável. |
Média |
GKE no VMware
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. O que devo fazer?O GKE no VMware não é afetado por essa CVE, porque não usa uma versão afetada do OpenSSL. Quais vulnerabilidades são corrigidas por esse patch?Você não precisa fazer nada. |
Nenhuma |
GKE na AWS
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. O que devo fazer?O GKE na AWS não é afetado por essa CVE, porque não usa uma versão afetada do OpenSSL. Quais vulnerabilidades são corrigidas por esse patch?Você não precisa fazer nada. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. O que devo fazer?O GKE no Azure não é afetado por essa CVE, porque não usa uma versão afetada do OpenSSL. Quais vulnerabilidades são corrigidas por esse patch?Você não precisa fazer nada. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. O que devo fazer?O GKE em Bare Metal não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL. Quais vulnerabilidades são corrigidas por esse patch?Você não precisa fazer nada. |
Nenhuma |
GCP-2022-025
Publicação: 21/12/2022
Atualizado em: 19/01/2023, 21/12/2023
Referência: CVE-2022-2602
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
GKE;
Atualização: 19/01/2023
Descrição | Gravidade |
---|---|
Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos seus pools de nós para esta versão ou uma mais recente. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. As versões 1.11, 1.12 e 1.13 do GKE no VMware foram afetadas. O que devo fazer?Faça upgrade do cluster para uma versão com patch. As seguintes versões do GKE na VMware contêm códigos que corrigem essa vulnerabilidade:
Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. O que devo fazer?As versões de geração atual e anterior do GKE na AWS foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS:
Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. O que devo fazer?O código das seguintes versões do GKE no Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:
Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário. |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição. O que devo fazer?Você não precisa fazer nada. |
Nenhuma |
GCP-2022-024
Publicado em: 09/11/2022
Atualizado em: 19/01/2023
ReferênciaCVE-2022-2585, CVE-2022-2588
Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
Atualização de 16/12/2022 : adicionamos versões de patch revisadas para o GKE e
o GKE no VMware.
GKE;
Atualização: 19/01/2023
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos seus pools de nós para esta versão ou uma mais recente. Atualização de 16/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:
O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
As atualizações do GKE v1.22, 1.23 e 1.25 serão disponibilizadas em breve. Este boletim de segurança será atualizado quando estiver disponível. Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE no VMware
Atualizado: 16/12/2022
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. As versões 1.13, 1.12 e 1.11 do GKE no VMware foram afetadas. O que devo fazer?Atualização de 16/12/2022: as seguintes versões do GKE no VMware foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:
Quais vulnerabilidades são corrigidas por esse patch?
|
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. As seguintes versões do Kubernetes na AWS podem ser afetadas:
O Kubernetes V1.24 não foi afetado. O que fazer?Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Kubernetes da AWS:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos. Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. As seguintes versões do Kubernetes no Azure podem ser afetadas:
O Kubernetes V1.24 não foi afetado. O que devo fazer?Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Azure Kubernetes:
Quais vulnerabilidades estão sendo resolvidas?Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos. Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local. |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição. O que devo fazer?Você não precisa fazer nada. |
Nenhum |
GCP-2022-023
Data de publicação: 04-11-2022
Referência: CVE-2022-39278
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Cloud Service Mesh. Ela permite que um invasor mal-intencionado cause uma falha no plano de controle. O que devo fazer?O Google Kubernetes Engine (GKE) não é enviado com o Istio e não é afetado por essa vulnerabilidade. No entanto, se você instalou o Cloud Service Mesh ou o Istio separadamente no cluster do GKE, consulte o GCP-2022-020, o boletim de segurança do Cloud Service Mesh nesta CVE, para mais informações. |
Nenhuma |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Cloud Service Mesh no GKE no VMware. Ela permite que um invasor mal-intencionado cause uma falha no plano de controle do Istio. O que devo fazer?O código das seguintes versões do GKE na VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:
Quais vulnerabilidades são corrigidas por esse patch?
Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Cloud Service Mesh, que permite que um invasor mal-intencionado cause uma falha no plano de controle. O que devo fazer?O GKE na AWS não foi afetado por essa vulnerabilidade, e você não precisa fazer nada. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Cloud Service Mesh, que permite que um invasor mal-intencionado cause uma falha no plano de controle. O que devo fazer?O GKE no Azure não é afetado por essa vulnerabilidade, e nenhuma ação é necessária. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Cloud Service Mesh no GKE em Bare Metal, permitindo que um invasor mal-intencionado cause uma falha no plano de controle do Istio. O que devo fazer?As seguintes versões do GKE em Bare Metal foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do GKE em Bare Metal:
Quais vulnerabilidades são corrigidas por esse patch?
Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio |
Alto |
GCP-2022-022-updated
Data de publicação: 18/12/2022
Referência: CVE-2022-20409
GKE;
Atualizado: 14/12/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade CVE-2022-20409, foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Os clusters do Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, incluindo clusters do Autopilot, que usam o Container-Optimized OS versões 93 e 97 são afetados. Outras versões compatíveis do GKE não são afetadas. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 14/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:
O código das versões a seguir do GKE que usam o Container-Optimized OS 93 e 97 foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário. |
Alto |
GKE no VMware
Atualizado: 14/12/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. O que devo fazer?Atualização de 14/12/2022: as seguintes versões do GKE no VMware para Ubuntu foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na VMware:
Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema. O que fazer?Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema. O que fazer?Nenhuma ação é necessária. O GKE no Azure não usa as versões afetadas do kernel do Linux. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário. |
Nenhuma |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. O que fazer?
|
Nenhuma |
GCP-2022-021
Publicação: 27/10/2022
Atualizado em: 19/01/2023, 21/12/2023
Referência: CVE-2022-3176
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
Atualização de 15/12/2022: informações atualizadas de que a versão 1.21.14-gke.9400 do Google Kubernetes Engine está com lançamento pendente e pode ser substituída por um número de versão mais recente.
Atualização de 21/11/2022 : adicionamos versões de patch para
GKE no VMware, GKE na AWS e GKE no Azure.
GKE;
Atualizado em : 19/01/2023, 21/12/2023
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir Os clusters do Google Kubernetes Engine (GKE) v1.21, incluindo clusters do Autopilot, que usam o Container-Optimized OS versão 89 são afetados. As versões posteriores do GKE não são afetadas. Todos os clusters do Linux com Ubuntu são afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. O que devo fazer?Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos seus pools de nós para esta versão ou uma mais recente. Atualização de 15/12/2022:a versão 1.21.14-gke.9400 está com lançamento pendente e pode ser substituída por um número de versão mais recente. Este documento vai ser atualizado quando a nova versão for disponibilizada. O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios. |
Alto |
GKE no VMware
Atualização em: 21/11/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que devo fazer?
Atualização de 21/11/2022:as seguintes versões do GKE no VMware para Ubuntu foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no VMware:
As versões do GKE no VMware que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios. |
Alto |
GKE na AWS
Atualização em: 21/11/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que devo fazer?Atualização de 21/11/2022 : as versões de geração atual e anterior do GKE na AWS a seguir foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS: Geração atual
As versões do GKE na AWS que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios. |
Alto |
GKE no Azure
Atualização em: 21/11/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que devo fazer?Atualização de 21/11/2022 : as seguintes versões do GKE no Azure foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:
As versões do GKE no Azure que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios. |
Alto |
GKE em Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que devo fazer?Você não precisa fazer nada. O GKE em Bare Metal não é afetado por essa CVE, porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2022-018
Publicação: 01/08/2022
Atualizado em: 14/09/2022, 21/12/2023
Referência: CVE-2022-2327
Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.
Atualização de 14/09/2022 : adicionamos versões de patch para o GKE no VMware, no GKE na AWS e no GKE no Azure.
GKE;
Atualizado em : 21/12/2023
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. Detalhes técnicosAtualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot
foram afetados, mas isso estava incorreto. Os clusters do Autopilot
do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você
definir explicitamente o perfil seccomp Unconfined ou
permitir Os clusters do GKE, incluindo os clusters do Autopilot, com o Container-Optimized OS (COS) que usam a versão do kernel do Linux 5.10 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados. O que fazer?Faça upgrade dos clusters do GKE para uma versão que inclui a correção.
As imagens de nó do Linux para COS foram atualizadas com as versões do GKE que usam as versões do COS.
Um recurso recente dos canais de lançamentos permite que você aplique um patch sem precisar cancelar a inscrição de um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root. |
Alto |
GKE no VMware
Atualizado em: 14/09/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. Clusters com uma imagem do Container Optimized OS (COS) que usam o GKE no VMware versões 1.10, 1.11 e 1.12 são afetados. O que devo fazer?Atualização de 14/09/2022: as versões a seguir do GKE no VMware contêm o código que corrige essa vulnerabilidade.
As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root. |
Alto |
GKE na AWS
Atualizado em: 14/09/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que devo fazer?Atualização de 14/09/2022: as versões de geração atual e anterior do GKE na AWS a seguir foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS: Current generation
Geração anterior
As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root. |
Alto |
GKE no Azure
Atualizado em: 14/09/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que devo fazer?Atualização de 14/09/2022: as seguintes versões do GKE no Azure foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:
As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root. |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. O que devo fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE, porque não agrupa um sistema operacional na distribuição dele. |
Nenhuma |
GCP-2022-017
Publicação: 29/06/2022
Atualizado em: 22/11/2022
Referência: CVE-2022-1786
Atualização de 22/11/2022: informações atualizadas sobre cargas de trabalho usando o GKE Sandbox.
Atualização de 21/07/2022 : informações atualizadas sobre as imagens do GKE no VMware COS afetadas.
GKE;
Atualização em: 22/11/2022
Descrição | Gravidade |
---|---|
Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades. Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Apenas os clusters que executam o Container-Optimized OS são afetados. As versões do GKE Ubuntu usam a versão 5.4 ou 5.15 do kernel e não são afetadas. O que devo fazer?O código das versões do nó Linux para o Container-Optimized OS das seguintes versões do GKE foi atualizado com o objetivo de corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, é recomendável fazer upgrade manual dos seus pools de nós para uma das seguintes versões do GKE a seguir:
Um recurso recente de canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado. Quais vulnerabilidades são corrigidas por esse patch?Na CVE-2022-1786, foi encontrada uma falha após o uso sem custo financeiro no subsistema io_bing do kernel do Linux. Se um usuário configurar um anel com IORING_SETUP_IOPOLL com mais de uma tarefa que conclui envios no anel, um usuário local poderá falhar ou escalonar os privilégios no sistema. |
Alto |
GKE no VMware
Atualizado em: 14/07/2022
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que devo fazer?Atualização de 21/07/2022:as versões a seguir do GKE no VMware contêm o código que corrige essa vulnerabilidade. COS
UbuntuNenhuma ação é necessária. O GKE no VMware não usa as versões afetadas do kernel do Linux. |
Nenhuma |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que devo fazer?Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux. |
Nenhuma |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que devo fazer?Nenhuma ação é necessária. O GKE no Azure não usa as versões afetadas do kernel do Linux. |
Nenhuma |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que devo fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição dele. |
Nenhuma |
GCP-2022-016
Publicação: 23/06/2022
Atualizado em: 22/11/2022
Referência: CVE-2022-29581, CVE-2022-29582 e CVE-2022-1116
Atualização de 22/11/2022: informações adicionadas sobre as cargas de trabalho em execução nos clusters do Autopilot.
Atualização de 29/07/2022 : versões atualizadas para GKE no VMware, GKE na AWS e GKE no Azure.
GKE;
Atualização em: 22/11/2022
Descrição | Gravidade |
---|---|
Atualização de 22/11/2022: os clusters do Autopilot não são afetados pela CVE-2022-29581, mas são vulneráveis à CVE-2022-29582 e CVE-2022-1116. Atualização de 29/07/2022: os pods que usam o GKE Sandbox não são suscetíveis a essas vulnerabilidades. Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Todos os clusters do Linux (Container-Optimized OS e Ubuntu) são afetados. O que devo fazer?As versões das imagens de nó do Linux para o Container-Optimized OS e o Ubuntu das seguintes versões do GKE foi atualizado com o código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring. A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz. |
Alto |
GKE no VMware
Atualização: 29/07/2022
Descrição | Gravidade |
---|---|
Atualização de 29/07/2022:as versões a seguir do GKE no VMware contêm códigos que corrigem essas vulnerabilidades.
Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam o GKE no VMware v1.9 e posterior para imagens do Ubuntu e do Container-Optimized OS. O que devo fazer?As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring. A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz. |
Alto |
GKE na AWS
Atualização: 29/07/2022
Descrição | Gravidade |
---|---|
Atualização de 29/07/2022:Atualização: as versões de geração atual e anterior do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS: Geração atual:
Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE na AWS. O que devo fazer?As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring. A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Atualização de 29/07/2022: Atualização: as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:
Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE no Azure. O que devo fazer?As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download. Quais vulnerabilidades são corrigidas por esse patch?Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring. A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz. |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. O que devo fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa vulnerabilidade porque não agrupa um sistema operacional na distribuição. |
Nenhuma |
GCP-2022-014
Publicado: 26/04/2022
Atualização: 22/11/2022
Atualização de 22/11/2022: informações sobre cargas de trabalho em execução nos clusters do Autopilot adicionadas.
Atualização de 12/05/2022: versões atualizadas de patch para o GKE na AWS e
GKE no Azure.
Referência: CVE-2022-1055, CVE-2022-27666
GKE;
Atualização em: 22/11/2022
Descrição | Gravidade |
---|---|
Atualização de 22/11/2022: os clusters e as cargas de trabalho do Autopilot do GKE em execução no GKE Sandbox não são afetados por essas vulnerabilidades. Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que devo fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE:
Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que devo fazer?Faça upgrade do cluster para uma versão com patch. As seguintes versões do GKE no VMware ou mais recentes contêm a correção dessa vulnerabilidade:
Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
GKE na AWS
Atualizado em: 12/05/2022
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que devo fazer?Atualização de 12/05/2022: as seguintes versões atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS: Geração atual
Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
GKE no Azure
Atualizado em: 12/05/2022
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que devo fazer?Atualização de 12/05/2022: as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:
Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Detalhes técnicosNa CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó. Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó. O que devo fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE, porque não inclui o Linux como parte do pacote. Verifique se as imagens de nó usadas estão atualizadas para as versões que contêm a correção para CVE-2022-1055 e CVE-2022-27666. Quais vulnerabilidades são corrigidas por esse patch? |
Alto |
GCP-2022-013
Publicação: 11/04/2022
Atualizado em: 20/04/2022
Referência: CVE-2022-23648
Atualização de 22/04/2022: versões atualizadas do patch do Google Distributed Cloud Virtual para Bare Metal e GKE no VMware.
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu) que usam o container por padrão. Todos os nós do GKE, Autopilot e GKE Sandbox foram afetados. O que devo fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manual dos seus nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico. |
Média |
GKE no VMware
Atualização: 22-04-2022
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todo o GKE no VMware com o Stackdriver ativado, que usa o containerd. As versões 1.8, 1.9 e 1.10 do GKE no VMware foram afetadas O que devo fazer?Atualização de 22/04/2022 : as versões a seguir do GKE no VMware contêm o código que corrige essa vulnerabilidade.
O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no VMware:
Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true". |
Média |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todas as versões do GKE na AWS foram afetadas. O que devo fazer?O código das seguintes versões do GKE na AWS foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS. GKE na AWS (geração atual)
GKE na AWS (geração anterior)
Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true". |
Média |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todas as versões do GKE no Azure foram afetadas. O que devo fazer?O código das seguintes versões do GKE no Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós da seguinte maneira:
Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true". |
Média |
Google Cloud Distributed Cloud Virtual para Bare Metal
Atualização: 22-04-2022
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todo o Google Distributed Cloud Virtual para Bare Metal que usa containerd. As versões 1.8, 1.9 e 1.10 do Google Distributed Cloud Virtual para Bare Metal foram afetadas O que devo fazer?Atualização de 22/04/2022 : as versões a seguir do Google Distributed Cloud Virtual para Bare Metal contêm um código que corrige essa vulnerabilidade.
O código das seguintes versões do Google Distributed Cloud Virtual para Bare Metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma destas versões do Google Distributed Cloud Virtual para Bare Metal:
Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true". |
Média |
GCP-2022-012
Publicação: 2022-04-07
Atualizado em: 2022-11-22
Referência: CVE-2022-0847
Atualização de 2022-11-22: informações atualizadas sobre cargas de trabalho que usam o sandbox do GKE.
GKE;
Atualização em: 22/11/2022
Descrição | Gravidade |
---|---|
Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades. Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta na versão 5.8 e posterior do kernel do Linux. É possível escalonar privilégios de contêiner na raiz. Essa vulnerabilidade afeta todas as versões do pool de nós do GKE v1.22 e posteriores que usam imagens do Container-Optimized OS (Container-Optimized OS 93 e versões mais recentes). Os pools de nós do GKE que usam o SO Ubuntu não são afetados. O que devo fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:
Um recurso recente dos canais de lançamento permite que você aplique uma versão de patch de outros canais de lançamento sem ter que cancelar a inscrição em um canal. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão. Quais vulnerabilidades são corrigidas por esse patch?A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios. Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas do pool de nós do GKE. |
Alto |
GKE no VMware
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta o GKE no VMware v1.10 para imagens do Container-Optimized OS. Atualmente, o GKE no VMware com Ubuntu está na versão do kernel 5.4 e não é vulnerável a esse ataque. O que devo fazer?As versões das imagens de nó do Linux para as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para a seguinte versão do GKE no VMware:
Quais vulnerabilidades são corrigidas por esse patch?A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios. Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas do GKE no VMware. |
Alto |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta os clusters gerenciados do GKE na AWS v1.21 e os clusters em execução no GKE na AWS (geração anterior) v1.19, v1.20, v1.21, que usam Ubuntu. O que devo fazer?As versões das imagens de nó do Linux para as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Para o GKE gerenciado na AWS, recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para uma das seguintes versões:
Para o GKE K-lite na AWS, recomendamos que você faça upgrade dos objetos AWSManagementService, AWSCluster e AWSNodePool para a seguinte versão:
Quais vulnerabilidades são corrigidas por esse patch?A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios. |
Alto |
GKE no Azure
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta clusters gerenciados do GKE no Azure v1.21 que usam Ubuntu. O que devo fazer?As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para a seguinte versão:
Quais vulnerabilidades são corrigidas por esse patch?A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios. |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. O que devo fazer?Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE, porque não inclui o Linux como parte do pacote. É preciso garantir que as imagens de nó usadas sejam atualizadas para versões que contêm a correção para CVE-2022-0847. |
Alto |
GCP-2022-011
Publicação: 22/03/2022
Atualizado em: 11/08/2022
Atualização de 11/08/2022 : adicionamos mais detalhes sobre os efeitos da configuração incorreta da SMT.
GKE;
Descrição | Gravidade |
---|---|
Atualização de 11/08/2022: mais informações foram adicionadas sobre a configuração de várias linhas de execução simultâneas (SMT, na sigla em inglês). O objetivo da SMT era ser desativado, mas ativado nas versões listadas. Se você ativou a SMT manualmente para um pool de nós no modo sandbox, a SMT permanecerá ativada manualmente, apesar desse problema. Há uma configuração incorreta com várias linhas de execução simultâneas (SMT, na sigla em inglês), também conhecida como Hyper-threading, nas imagens do GKE Sandbox. A configuração incorreta deixa os nós potencialmente expostos a ataques de canal lateral, como amostragem de dados de microarquitetura (MDS, na sigla em inglês). Para mais contexto, consulte a documentação do GKE Sandbox. Não recomendamos o uso das seguintes versões afetadas:
Se você tiver ativado manualmente a SMT para um pool de nós, esse problema não afetará seus nós no modo sandbox. O que devo fazer?Atualize os nós para uma das seguintes versões:
Qual vulnerabilidade é corrigida por esse patch?Os nós do GKE Sandbox têm a SMT desativada por padrão, reduzindo ataques de canal lateral. |
Média |
GCP-2022-009
Publicação: 01/03/2022
Atualizado em: 15/03/2022
GKE;
Descrição | Gravidade |
---|---|
Atualização de 15/03/2022: foram adicionados guias de proteção para o GKE na AWS e para o GKE no Azure. Adição de uma seção sobre persistência usando webhooks. Alguns caminhos inesperados para acessar a VM do nó em clusters do Autopilot GKE podem ter sido usados para escalonar privilégios no cluster. Esses problemas foram corrigidos e nenhuma outra ação é necessária. As correções resolvem problemas reportados pelo nosso Programa de recompensa para descobertas de vulnerabilidades. Os usuários dos clusters do GKE Standard e do GKE podem aplicar uma política de aumento da proteção semelhante, conforme descrito abaixo. Detalhes técnicosAcesso ao host usando isenções de política de terceirosPara permitir que o Google Cloud ofereça gerenciamento completo de nós e um SLA no nível do pod, o Autopilot do GKE restringe alguns primitivos do Kubernetes altamente privilegiados para impedir que as cargas de trabalho tenham acesso de baixo nível à VM do nó. Para isso: o GKE Standard apresenta acesso total à computação subjacente, o Autopilot tem acesso limitado e o Cloud Run não tem acesso. O Autopilot flexibiliza algumas dessas restrições em uma lista predefinida de ferramentas de terceiros para permitir que os clientes executem essas ferramentas no Autopilot sem modificações. Com os privilégios para criar pods com ativações de caminho de host, o pesquisador conseguiu executar um contêiner privilegiado em um pod parecido com uma dessas ferramentas de terceiros autorizadas para ter acesso ao host. A capacidade de programar pods dessa maneira é esperada no GKE Standard, mas não no Autopilot do GKE, já que isso ignora as restrições de acesso ao host usadas para ativar o SLA descrito anteriormente. Esse problema foi corrigido ao reforçar a especificação de pod da lista de permissões de terceiros. Escalonamento de privilégios a partir da raiz no nóAlém do acesso ao host, os pods Suspendemos o uso e removemos o Como uma medida de aumento da proteção do sistema para evitar esse tipo de ataque no futuro, aplicaremos uma restrição do Autopilot a uma versão futura que impedirá atualizações na conta de serviço de vários objetos no namespace
Adição de 15/03/2022: persistência com o uso de webhooks mutáveisOs webhooks mutáveis foram usados no relatório para estabelecer uma posição privilegiada no pós-compromisso do cluster. Essas são partes padrão da API Kubernetes criadas pelos administradores do cluster e ficaram visíveis para os administradores quando o Autopilot adicionou suporte para webhooks definidos pelo cliente. Contas de serviço privilegiadas no namespace padrãoOs implementadores de políticas do Autopilot permitiam duas contas de serviço no namespace padrão: O que devo fazer?As políticas de todos os clusters do GKE Autopilot foram atualizadas para remover o acesso não intencional ao host, e nenhuma outra ação será necessária. Outras proteções de políticas serão aplicadas ao Autopilot nas próximas semanas como uma proteção secundária. Nenhuma ação é necessária. Os clusters GKE Standard e os clusters do GKE não são afetados porque os usuários já têm acesso ao host. Como uma medida de fortalecimento do sistema, os clusters do GKE Standard e os usuários de clusters do GKE podem aplicar uma proteção semelhante com uma política de Gatekeeper que impede a automodificação de cargas de trabalho privilegiadas. Para receber instruções, consulte os seguintes guias de proteção:
|
Baixo |
GCP-2022-008
Publicada em: 23/02/2022
Atualização: 28/04/2022
Referência:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE;
Descrição | Gravidade |
---|---|
projeto Envoy descobriu recentemente um conjunto de vulnerabilidades, CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657, and
CVE-2022-21656
que podem afetar os clusters do GKE que usam Anthos Service Mesh,
Istio-on-GKE ou implementações Istio personalizadas. Todos os problemas listados abaixo foram corrigidos na versão 1.21.1 do Envoy. Informações técnicas Veja mais detalhes sobre essas vulnerabilidades neste link. O que devo fazer?Os clusters do GKE que executam o Anthos Service Mesh precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
Os clusters do GKE que executam o Istio-on-GKE precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
Quais vulnerabilidades são corrigidas por esse patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alto |
GKE no VMware
Atualização: 28-04-2022
Descrição | Gravidade |
---|---|
Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O GKE no VMware é
afetado porque o Envoy é usado com o Metrics-server. As
CVEs do Envoy que estamos corrigindo estão listadas abaixo. Este boletim
vai ser atualizado com versões específicas quando elas estiverem disponíveis:
O Istio lançou recentemente uma correção de vulnerabilidade de segurança. O Anthos no VMware foi afetado porque o Istio é usado para entrada. As CVEs do Istio que estamos corrigindo estão listadas abaixo. Este boletim vai ser atualizado com versões específicas quando elas estiverem disponíveis. CVE-2022-23635 (pontuação do CVSS de 7.5, alta): o Istiod falha ao receber solicitações com um cabeçalho "authorization" especialmente criado.Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança. Adição de 28-04-2022: o que devo fazer?As seguintes versões do GKE no VMware corrigem essas vulnerabilidades:
Quais vulnerabilidades são corrigidas por esse patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alto |
Google Cloud Distributed Cloud Virtual para Bare Metal
Descrição | Gravidade |
---|---|
Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O Anthos
em bare metal é afetado porque o Envoy é usado para Metrics-server.
As CVEs do Envoy que estamos corrigindo nas versões 1.10.3, 1.9.6 e 1.8.9 estão
listadas abaixo:
Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança. Quais vulnerabilidades são corrigidas por esse patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alto |
GCP-2022-006
Publicação : 14/02/2022
Atualizado em: 16/05/2022
16/05/2022 Atualização: o GKE versão 1.19.16-gke.7800 ou posterior foi adicionado à lista de versões que têm código para corrigir essa vulnerabilidade.
Atualização de 12/05/2022 : versões atualizadas de patch para GKE,
Google Distributed Cloud Virtual for Bare Metal, GKE on VMware e GKE na AWS.
Correção de um problema em que o boletim de segurança para o GKE na AWS não era
exibido quando foi adicionado em 23/02/2022.
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função O que devo fazer?Atualização de 16/05/2022: além das versões do GKE mencionadas na atualização de 12/05/2022, a versão 1.19.16-gke.7800 ou posterior do GKE também contém o código que corrige essa vulnerabilidade. Atualização de 12/05/2022: as seguintes versões do GKE contêm código que corrige essa vulnerabilidade:
Atualização de 15/02/2022: instrução do gVisor corrigida. A vulnerabilidade é encontrada no
Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando estiver disponível. Qual vulnerabilidade é corrigida por esse patch?CVE-2022-0492 |
Baixo |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função O que devo fazer?Atualização de 12/05/2022: as versões a seguir do GKE no VMware contêm o código que corrige essa vulnerabilidade. COS
A vulnerabilidade é encontrada na função cgroup_release_agent_write do kernel do Linux na função kernel/cgroup/cgroup-v1.c e pode ser usada como uma saída de contêiner. O GKE no VMware não é afetado devido à proteção do perfil padrão do AppArmor no Ubuntu e no COS. No entanto, alguns clientes ainda podem ficar vulneráveis se tiverem diminuído as restrições de segurança nos pods com a modificação do campo securityContext do pod ou do contêiner, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Qual vulnerabilidade é corrigida por esse patch?CVE-2022-0492 |
Baixo |
GKE na AWS
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função O que devo fazer?Atualização de 12/05/2022 : as versões a seguir do GKE de geração atual e anterior na AWS contêm um código que corrige essa vulnerabilidade: Geração atual
Atualização de 23/02/2022: adicionamos uma observação para o GKE na AWS. O GKE nas gerações anteriores e atuais da AWS não são afetados devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Qual vulnerabilidade é corrigida por esse patch?CVE-2022-0492 |
Baixo |
GKE Enterprise no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função O que devo fazer?Atualização de 12/05/2022: as seguintes versões do GKE no Azure contêm o código que corrige essa vulnerabilidade:
O GKE no Azure não é afetado devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis. Qual vulnerabilidade é corrigida por esse patch?CVE-2022-0492 |
Baixa |
GCP-2022-005
Publicação: 11/02/2022Atualizado em: 15/02/2022
Referência: CVE-2021-43527
GKE;
Descrição | Gravidade |
---|---|
Atualização de 15/02/2022: algumas versões do GKE mencionadas no boletim original foram combinadas com outras correções e tiveram os números de versão incrementados antes do lançamento. Os patches estão disponíveis nas seguintes versões do GKE:
Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. As imagens do GKE COS e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches. Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. O impacto depende de como o NSS é usado/configurado. O GKE não usa o libnss3 para nenhuma API acessível pela Internet. O impacto é limitado ao código no host em execução fora dos contêineres, o que é pequeno devido ao design mínimo do Chrome OS. O código do GKE em execução dentro de contêineres usando a imagem base de golang distroless não é afetado. O que devo fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do GKE:
Qual vulnerabilidade é corrigida por esse patch? |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificado ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como eles configuram o NSS. As imagens do GKE no VMware e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches. Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS \#7, or PKCS \#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. O Anthos no VMware não usa libnss3 para nenhuma API acessível publicamente. Portanto, o impacto é limitado, e a gravidade dessa CVE para o GKE no VMware é classificada como média. O que devo fazer?As versões de imagens de nó do Linux para as seguintes versões do Anthos foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do Anthos:
Você está usando uma versão do GKE no VMware anterior à 1.18? Você está usando uma versão do Anthos fora do SLA e precisa fazer upgrade para uma das versões compatíveis. Qual vulnerabilidade é corrigida por esse patch? |
Média |
GKE Enterprise no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. Os clusters do Anthos em imagens do Azure Ubuntu têm uma versão vulnerável instalada, e precisam receber patches. Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. Os clusters do Anthos no Azure não usam libnss3 para nenhuma API publicamente acessível. Portanto, o impacto é limitado, e a gravidade da CVE para o Anthos no Azure é classificada como "Média". O que devo fazer?As versões das imagens de nó do Linux para as versões do GKE a seguir no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do Anthos no Azure:
Qual vulnerabilidade é corrigida por esse patch? |
Média |
GCP-2022-004
Publicação: 04/02/2022Referência: CVE-2021-4034
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política. O que devo fazer?O GKE não é afetado porque o módulo vulnerável, policykit-1, não está instalado nas imagens do COS ou do Ubuntu usadas no GKE. Nenhuma ação é necessária. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política. A configuração padrão do GKE Enterprise já dá aos usuários privilégios "sudo" completos, então essa exploração não muda a postura de segurança atual do GKE Enterprise. Detalhes técnicosPara que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no VMware inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite o sudo sem senha para qualquer pessoa com acesso ao shell. Portanto, essa vulnerabilidade não concede mais privilégios do que o usuário já tem. O que devo fazer?Você não precisa fazer nada. O GKE no VMware não é afetado. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O GKE na AWS não foi afetado. O módulo vulnerável, o policykit-1, não está instalado nas imagens do Ubuntu usadas pelas versões atuais e anteriores do GKE na AWS. | Nenhuma |
GKE Enterprise no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política. A configuração padrão do GKE Enterprise já dá aos usuários privilégios "sudo" completos, então essa exploração não muda a postura de segurança atual do GKE Enterprise. Detalhes técnicosPara que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no Azure inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite o sudo sem senha para qualquer pessoa com acesso ao shell. Portanto, essa vulnerabilidade não dá a um usuário mais privilégios do que ele já tem. O que devo fazer?Você não precisa fazer nada. O GKE no Azure não foi afetado. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O Google Distributed Cloud Virtual for Bare Metal pode ser afetado dependendo dos pacotes instalados no sistema operacional gerenciado pelo cliente. Verifique as imagens do SO e corrija-as, se necessário. | Nenhuma |
GCP-2022-002
Publicação: 01/02/2022Atualizado em 07/03/2022
Referência: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Atualização de 2022-2022-0185 no GKE e atualização do GKE: Foram adicionadas atualizações de lançamento do GKE e do GKE no VMware.
GKE;
Atualizado em: 07/03/2022
Descrição | Gravidade |
---|---|
Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, no GKE no VMware, no GKE na AWS (geração atual e anterior) e no GKE no Azure. Os pods que usam o GKE Sandbox não são vulneráveis a essas vulnerabilidades. Para mais detalhes, consulte as Notas de lançamento do COS. Detalhes técnicosNa CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host. Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner. O caminho de exploração dessa vulnerabilidade que depende do syscall "unshare" é bloqueado em clusters do GKE Autopilot por padrão usando o filtro seccomp. Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos. O que fazer?Atualização de 07/03/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir todas essas vulnerabilidades para as imagens do Ubuntu e do COS. Faça upgrade do plano de controle e dos nós para uma destas versões do GKE:
Atualização de 25/02/2022: se você usar imagens de nó do Ubuntu, o 1.22.6-gke.1000 não se destina à CVE-2021-22600. Este boletim será atualizado com as versões de patch do Ubuntu assim que estiverem disponíveis. Atualização de 23/02/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.
Atualização de 04/02/2022: a data de início do lançamento das versões de patch do GKE foi 2 de fevereiro. As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.
As versões 1.22 e 1.23 também estão em andamento. Este boletim será atualizado com versões específicas quando elas estiverem disponíveis. Qual vulnerabilidade é corrigida por esse patch? |
Alto |
os clusters do GKE no
Atualização: 23/02/2022
Descrição | Gravidade |
---|---|
Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, no GKE no VMware, no GKE na AWS (geração atual e anterior) e no GKE no Azure. Para mais detalhes, consulte as Notas de lançamento do COS. Detalhes técnicosNa CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host. Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner. Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos. O que fazer?Atualização de 23/02/2022: a versão 1.10.2 (corrige a CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) em 1º de março. Atualização de 23/02/2022: versões com patch corrigidas da CVE-2021-2260. A versão 1.10.1 não resolve a CVE-2021-22600, mas aborda as outras vulnerabilidades. As versões 1.9.4 e 1.10.2, ambos não lançadas, são relacionadas à CVE-2021-22600. As versões das imagens de nó do Linux para as versões a seguir do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE no VMware:
Atualização de 04/02/2022: informações adicionadas sobre as imagens do Ubuntu que não abordam a CVE-2021-22600. As versões das imagens de nó do Linux para as versões a seguir do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE no VMware:
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, no GKE no VMware, no GKE na AWS (geração atual e anterior) e no GKE no Azure. Para mais detalhes, consulte as Notas de lançamento do COS. Detalhes técnicosNa CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host. Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner. Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos. O que devo fazer?GKE na AWSAs versões das imagens de nó do Linux para as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE na AWS:
GKE na AWS (geração anterior)As versões das imagens de nó do Linux para as seguintes versões do GKE na AWS (geração anterior) foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE na AWS (geração anterior):
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
GKE Enterprise no
Descrição | Gravidade |
---|---|
Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, no GKE no VMware, no GKE na AWS (geração atual e anterior) e no GKE no Azure. Para mais detalhes, consulte as Notas de lançamento do COS. Detalhes técnicosNa CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host. Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner. Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos. O que devo fazer?As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE no Azure:
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
GCP-2021-024
Publicação: 21/10/2021Referência: CVE-2021-25742
GKE
Descrição | Gravidade |
---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. O que devo fazer?Esse problema de segurança não afeta sua infraestrutura de cluster do GKE ou qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. O que devo fazer?Esse problema de segurança não afeta sua infraestrutura de cluster do GKE ou qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. O que devo fazer?Esse problema de segurança não afeta sua infraestrutura de cluster do GKE ou qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. O que devo fazer?Esse problema de segurança não afeta sua infraestrutura de cluster do GKE ou qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes. |
Nenhuma |
GCP-2021-019
Publicação: 29/09/2021GKE;
Descrição | Gravidade |
---|---|
Há um problema conhecido em que a atualização de um recurso Meu ambiente foi afetado por essa vulnerabilidade?Se o kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Esse problema afeta as seguintes versões do GKE:
Se você não configurar o Google Cloud Armor nos recursos de Entrada pelo
O que devo fazer?Faça upgrade do plano de controle do GKE
para uma das versões atualizadas a seguir que corrige esse problema e permite que
os recursos
Para evitar esse problema, evite a implantação de recursos Para evitar esse problema, faça atualizações somente para o Como a O manifesto de amostra a seguir descreve um recurso apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Se você tiver sistemas ou ferramentas de CI/CD que atualizam regularmente os recursos do |
Baixo |
GCP-2021-022
Publicação: 23/09/2021os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta no módulo LDAP do GKE Enterprise Identity Service (AIS, na sigla em inglês) do GKE nas versões 1.8 e 1.8.1 do GKE no VMware, em que uma chave semente usada para gerar chaves é previsível. Com essa vulnerabilidade, um usuário autenticado pode adicionar declarações arbitrárias e escalonar privilégios indefinidamente. Detalhes técnicosUma adição recente ao código ACS cria chaves simétricas com o módulo de matemática/randa do golang, que não é adequado para códigos sensíveis à segurança. O módulo é usado de modo a gerar uma chave previsível. Durante a verificação de identidade, é gerada uma chave do serviço de token seguro (STS, na sigla em inglês) que, depois, é criptografada com uma chave simétrica simples de derivar. O que devo fazer?Essa vulnerabilidade afeta apenas os clientes que usam o AIS no GKE no VMware versões 1.8 e 1.8.1. Para usuários do GKE no VMware 1.8, faça upgrade dos clusters para a seguinte versão:
|
Alto |
GCP-2021-021
Publicação: 22/09/2021Referência: CVE-2020-8561
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561,
foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para
redirecionar solicitações Detalhes técnicosCom essa vulnerabilidade, os agentes que controlam as respostas de solicitações Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API. O que fazer?Nenhuma ação é necessária no momento. As versões atualmente disponíveis do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:
Qual vulnerabilidade é corrigida por esse patch?<pCVE-2020-8561 </p/> |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561,
foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para
redirecionar solicitações Detalhes técnicosCom essa vulnerabilidade, os agentes que controlam as respostas de solicitações Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API. O que fazer?Nenhuma ação é necessária no momento. As versões atualmente disponíveis do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:
Qual vulnerabilidade é corrigida por esse patch?<pCVE-2020-8561 </p/> |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561,
foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para
redirecionar solicitações Detalhes técnicosCom essa vulnerabilidade, os agentes que controlam as respostas de solicitações Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API. O que fazer?Nenhuma ação é necessária no momento. As versões atualmente disponíveis do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:
Qual vulnerabilidade é corrigida por esse patch?<pCVE-2020-8561 </p/> |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561,
foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para
redirecionar solicitações Detalhes técnicosCom essa vulnerabilidade, os agentes que controlam as respostas de solicitações Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API. O que fazer?Nenhuma ação é necessária no momento. As versões atualmente disponíveis do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:
Qual vulnerabilidade é corrigida por esse patch?<pCVE-2020-8561 </p/> |
Média |
GCP-2021-018
Publicação: 15/09/2021Atualizado em: 24/09/2021
Referência: CVE-2021-25741
Atualização de 24/09/2021: o boletim do GKE em Bare Metal foi atualizado com outras versões de patch.
Atualização de 20/09/2021: boletins adicionados para o GKE em Bare Metal
Atualização de 16/09/2021: novos boletins para o GKE no VMware
GKE;
Descrição | Gravidade |
---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Detalhes técnicos:No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.O que devo fazer?Recomendamos que você faça upgrade dos pools de nós para uma das versões a seguir ou mais recente para aproveitar os patches mais recentes:
As seguintes versões também contêm a correção:
|
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Detalhes técnicos:No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.O que devo fazer?Atualizado em 24/09/2021: as versões com patch 1.8.3 e 1.7.4 já estão disponíveis. Atualizado em 17/09/2021: foi corrigida a lista de versões disponíveis que contêm o patch. As seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:
|
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Detalhes técnicos:No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.O que devo fazer?Atualização de 16/09/2021: adição da lista de versões gke compatíveis para objetos As seguintes versões do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Nesse caso, recomendamos o seguinte:
|
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Detalhes técnicos:No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.O que devo fazer?As seguintes versões do GKE em bare metal foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:
|
Alto |
GCP-2021-017
Publicação: 01/09/2021Atualizado em: 23/09/2021
Referência: CVE-2021-33909
CVE-2021-33910
GKE;
Descrição | Gravidade |
---|---|
Atualização de 23/19/2021:Contêineres em execução dentro do GKE Sandbox não são afetados por essa vulnerabilidade em ataques originados dentro do contêiner. Atualização de 15/09/2021:As seguintes versões do GKE corrigem as vulnerabilidades:
Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu). Detalhes técnicos:Na CVE-2021-33909 (em inglês), a
camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando
a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz O que devo fazer?As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
|
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu). Detalhes técnicos:Na CVE-2021-33909 (em inglês), a
camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando
a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz O que devo fazer?As versões das imagens de nó do Linux para o GKE na AWS foram atualizadas com o código
para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
|
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu). Detalhes técnicos:Na CVE-2021-33909 (em inglês), a
camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando
a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz O que devo fazer?As versões das imagens de nó Linux e COS para o GKE no VMware foram atualizadas com código
para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
Consulte Histórico de versões: Kubernetes e versões do kernel do nó. |
Alto |
GCP-2021-015
Publicação: 13/07/2021Atualizado em: 15/07/2021
Referência: CVE-2021-22555
GKE;
Descrição | Gravidade |
---|---|
Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios Detalhes técnicos
Nesse ataque, uma gravação fora dos limites em O que fazer?As seguintes versões do Linux no GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios Detalhes técnicos
Nesse ataque, uma gravação fora dos limites em O que devo fazer?O código das seguintes versões do Linux no GKE on VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:
Qual vulnerabilidade é corrigida por esse patch? |
Alto |
GCP-2021-014
Publicação: 05/07/2021Referência: CVE-2021-34527
GKE;
Descrição | Gravidade |
---|---|
A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "Printnightmare", que também afeta os spoolers de impressão do Windows. Vulnerabilidade do Spooler de impressão crítica do Windows O que devo fazer?Nenhuma ação é necessária. Os nós do GKE no Windows não contêm o serviço Spooler afetado como parte da imagem base. Por isso, as implantações do GKE no Windows não estão vulneráveis a esse ataque. Quais vulnerabilidades são corrigidas por esse boletim?
|
Alto |
GCP-2021-012
Publicação: 01/07/2021Atualizado em: 09/07/2021
Referência: CVE-2021-34824
GKE;
Descrição | Gravidade |
---|---|
O que devo fazer?Recentemente, o projeto Istio disclosed uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces. Detalhes técnicos:O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS. Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. O que devo fazer?Por padrão, os clusters do GKE não executam o Istio e, quando ativados, usam a versão 1.6 do Istio, que não é vulnerável a esse ataque. Se você instalou ou fez upgrade do Istio no cluster para o Istio 1.8 ou posterior, faça upgrade do Istio para a versão compatível mais recente. |
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O que devo fazer?Recentemente, o projeto Istio disclosed uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces. Detalhes técnicos:O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS. Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. O que devo fazer?Os clusters do Anthos no VMware v1.6 e v1.7 não são vulneráveis a esse ataque. Os clusters do Anthos no VMware v1.8 são vulneráveis. Se você estiver usando clusters do Anthos no VMware v1.8, faça upgrade para a seguinte versão com patch ou posterior:
|
Alto |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O que devo fazer?Recentemente, o projeto Istio disclosed uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces. Detalhes técnicos:O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS. Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. Os clusters criados ou atualizados com clusters do Anthos no bare metal v1.8.0 são afetados por essa CVE. O que devo fazer?O Anthos v1.6 e 1.7 não são vulneráveis a esse ataque. Se você tiver clusters v1.8.0, faça o download e instale a versão 1.8.1 do bmctl e faça upgrade dos clusters para a seguinte versão com patch:
|
Alto |
GCP-2021-011
Publicação: 04/06/2021Atualizado em: 19/10/2021
Referência: CVE-2021-30465
Atualização de 19/10/2021: adicionamos boletins para GKE no VMware, GKE na AWS e GKE em Bare Metal.
GKE;
Descrição | Gravidade |
---|---|
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA". Detalhes técnicos
O pacote Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico. Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz. O que devo fazer?Há um patch recém-lançado para Faça upgrade do cluster do GKE para uma das versões atualizadas a seguir:
|
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Para o GKE no VMware, como a exploração dessa vulnerabilidade exige a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como MÉDIA. Detalhes técnicos
O pacote Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico. Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz. O que devo fazer?Há um patch recém-lançado a
|
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Como essa é uma vulnerabilidade no nível do SO, o GKE na AWS não está vulnerável. Detalhes técnicos
O pacote Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico. Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz. O que devo fazer?Verifique se a versão do SO em que você está executando o GKE na AWS foi atualizada para a versão mais recente que tenha um pacoterunc atualizado.
|
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Como essa é uma vulnerabilidade no nível do SO, o GKE em Bare Metal não está vulnerável. Detalhes técnicos
O pacote Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico. Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz. O que devo fazer?
Verifique se a versão do SO em que você está executando o Google Distributed Cloud Virtual para Bare Metal foi
atualizada para a versão mais recente que tenha um pacote |
Nenhuma |
GCP-2021-006
Data de publicação: 11/05/2021ReferênciaCVE-2021-31920
GKE;
Descrição | Gravidade |
---|---|
Recentemente, o projeto Istio disclosed uma nova vulnerabilidade de segurança (CVE-2021-31920) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando regras de autorização com base em caminho forem usadas. O que devo fazer?É altamente recomendável atualizar e reconfigurar os clusters do GKE. É importante concluir as duas etapas abaixo para resolver a vulnerabilidade:
|
Alto |
GCP-2021-004
Data de publicação: 06/05 2021ReferênciaCVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE;
Descrição | Gravidade |
---|---|
Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy. Os clusters do GKE não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ficar vulneráveis a ataques de negação de serviço. O que devo fazer?Para corrigir essas vulnerabilidades, faça upgrade do seu plano de controle do GKE para uma das seguintes versões com patch:
|
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy. O GKE no VMware usa o Envoy por padrão para Entrada, de modo que os serviços Entrada podem estar vulneráveis à negação de serviço. O que devo fazer?Para corrigir essas vulnerabilidades, faça upgrade do GKE no VMware para uma das seguintes versões com patch quando for lançada:
|
Média |
os clusters do GKE no
Atualizado em: 06/05/2021
Descrição | Gravidade |
---|---|
Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy. O Google Distributed Cloud Virtual for Bare Metal usa o Envoy por padrão para a Entrada, portanto, os serviços podem estar vulneráveis à negação de serviço. O que devo fazer?Para corrigir essas vulnerabilidades, faça upgrade do seu cluster do Google Distributed Cloud Virtual for Bare Metal para uma das seguintes versões com patch quando for lançada:
|
Média |
GCP-2021-003
Data de publicação: 19/04/2021ReferênciaCVE-2021-25735
GKE;
Descrição | Gravidade |
---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão. Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do
webhook de admissão foi implementada que usa propriedades de objetos O que devo fazer?Para corrigir essa vulnerabilidade, faça o upgrade do cluster do GKE para uma das seguintes versões com patch:
|
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão. Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do
webhook de admissão foi implementada que usa propriedades de objetos O que devo fazer?Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade. |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão. Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do
webhook de admissão foi implementada que usa propriedades de objetos O que devo fazer?Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade. |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão. Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do
webhook de admissão foi implementada que usa propriedades de objetos O que devo fazer?Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade. |
Média |
GCP-2021-001
Data de publicação: 28/01/2021ReferênciaCVE-2021-3156
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário Os clusters do Google Kubernetes Engine (GKE) não são afetados por esta vulnerabilidade:
O que fazer?Como os clusters do GKE não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. O GKE terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência regular. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário O GKE no VMware não é afetado por esta vulnerabilidade:
O que devo fazer?Como os clusters do GKE no VMware não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. O GKE no VMware vai aplicar o patch dessa vulnerabilidade em uma versão futura regularmente. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário O GKE na AWS não é afetado por esta vulnerabilidade:
O que devo fazer?Como os clusters do GKE na AWS não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. O GKE na AWS terá o patch dessa vulnerabilidade aplicado em uma versão futura em frequência regular. |
Nenhuma |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário Os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por esta vulnerabilidade:
O que devo fazer?Como os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. O patch dessa vulnerabilidade do Google Distributed Cloud Virtual for Bare Metal será aplicado em uma versão futura em ritmo regular. |
Nenhuma |
GCP-2020-015
Publicação: 07/12/2020Atualizado em: 22/12/2021
Referência: CVE-2020-8554
Atualização de 22/12/2021: usa gcloud beta
em vez
do comando gcloud
.
Atualização de 15/12/2021: mitigação adicional do GKE.
GKE;
Descrição | Gravidade |
---|---|
Atualizado em 22/12/2021: o comando para o GKE na seção
a seguir deve usar gcloud beta em vez do comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Atualizado em 15/12/2021 No GKE, a seguinte mitigação já está disponível:
Para mais informações, consulte Como aumentar a segurança do cluster. O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade por si só não dá a um invasor permissões para criar um serviço do Kubernetes. Todos os clusters do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade. O que devo fazer?O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade. Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado. Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:
Como mencionado no
Anúncio do Kubernetes,
nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários
altamente privilegiados e componentes do sistema recebem a
permissão
|
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Atualizado em 22/12/2021: o comando para o GKE na seção
a seguir deve usar gcloud beta em vez do comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Atualizado em 15/12/2021 No GKE, a seguinte mitigação já está disponível:
Para mais informações, consulte Como aumentar a segurança do cluster. O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade por si só não dá a um invasor permissões para criar um serviço do Kubernetes. Todos os GKE no VMware são afetados por essa vulnerabilidade. O que devo fazer?O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade. Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado. Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:
Como mencionado no
Anúncio do Kubernetes,
nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários
altamente privilegiados e componentes do sistema recebem a
permissão
|
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Atualizado em 22/12/2021: o comando para o GKE na seção
a seguir deve usar gcloud beta em vez do comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Atualizado em 15/12/2021 No GKE, a seguinte mitigação já está disponível:
Para mais informações, consulte Como aumentar a segurança do cluster. O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade por si só não dá a um invasor permissões para criar um serviço do Kubernetes. Todos os GKE na AWS são afetados por essa vulnerabilidade. O que devo fazer?O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade. Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado. Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:
Como mencionado no
Anúncio do Kubernetes,
nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários
altamente privilegiados e componentes do sistema recebem a
permissão
|
Média |
GCP-2020-014
Publicado em: 20/10/2020Referência: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE;
Atualizado em: 20/10/2020
Descrição | Gravidade |
---|---|
Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:
O GKE não é afetado. O que devo fazer?Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE. |
Nenhuma |
os clusters do GKE no
Atualizado em: 10/10/2020
Descrição | Gravidade |
---|---|
Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:
O GKE no VMware não foi afetado. O que devo fazer?Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE. |
Nenhuma |
os clusters do GKE no
Atualizado em: 20/10/2020
Descrição | Gravidade |
---|---|
Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:
O GKE na AWS não foi afetado. O que devo fazer?Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE. |
Nenhuma |
GCP-2020-012
Publicado em: 14/09/2020ReferênciaCVE-2020-14386
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host. Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade. O que fazer?Para corrigir essa vulnerabilidade, faça upgrade do plano de controle e, depois, faça upgrade dos nós para uma das versões com patch listadas abaixo:
O uso dessa vulnerabilidade requer Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch reduz os riscos da seguinte vulnerabilidade: A vulnerabilidade CVE-2020-14386,
que permite que os contêineres com |
Alto |
os clusters do GKE no
Atualizado em: 17/09/2020
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host. Todos os nós do GKE no VMware foram afetados. O que devo fazer?Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do {gke_on_prem_name}} conterão a correção da vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:
O uso dessa vulnerabilidade requer Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch reduz os riscos da seguinte vulnerabilidade: A vulnerabilidade CVE-2020-14386,
que permite que os contêineres com |
Alto |
os clusters do GKE no
Atualizado em: 13/10/2020
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host. Todos os nós do GKE nos nós da AWS foram afetados. O que devo fazer?Para corrigir essa vulnerabilidade, faça upgrade do serviço de gerenciamento e dos clusters do usuário para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes vão incluir a correção dessa vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:
Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch reduz os riscos da seguinte vulnerabilidade: A vulnerabilidade CVE-2020-14386,
que permite que os contêineres com |
Alto |
GCP-2020-011
Publicado em: 2020-07-24ReferênciaCVE-2020-8558
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados. A exploração dessa vulnerabilidade nos clusters do GKE requer que um invasor tenha privilégios de administrador de rede no Google Cloud que hospede a VPC do cluster. Por si só, essa vulnerabilidade não concede privilégios de administrador de rede a invasores. Por esse motivo, essa vulnerabilidade recebeu uma gravidade baixa no GKE. O que devo fazer?Para corrigir essa vulnerabilidade, faça upgrade dos pools de nós do cluster para as seguintes versões do GKE (e posteriores):
Qual vulnerabilidade é corrigida por esse patch?Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês). |
Baixo |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados. O que devo fazer?Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção dessa vulnerabilidade:
Qual vulnerabilidade é corrigida por esse patch?Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558. |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados. A exploração dessa vulnerabilidade nos clusters de usuário requer que um invasor desative
verificações de destino de origem
nas instâncias do EC2 no cluster. Isso exige que o invasor tenha permissões do IAM da AWS
para O que devo fazer?Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes precisam incluir a correção para essa vulnerabilidade:
Qual vulnerabilidade é corrigida por esse patch?Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês). |
Baixa |
GCP-2020-009
Publicado em: 15/07/2020ReferênciaCVE-2020-8559
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas. Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster. O que fazer?Faça upgrade do cluster para uma versão com patch. Os clusters serão atualizados automaticamente nas próximas semanas, e as versões com patch estarão disponíveis até 19 de julho de 2020 para uma programação acelerada por upgrade manual. As seguintes versões do plano de controle do GKE ou mais recentes contêm a correção dessa vulnerabilidade:
Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor. |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas. Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster. O que devo fazer?Faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção dessa vulnerabilidade:
Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor. |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas. Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster. O que devo fazer?O GKE na AWS GA (1.4.1, disponível no final de julho de 2020) ou mais recente inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário. Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor. |
Média |
GCP-2020-007
Publicado em: 01/06/2020ReferênciaCVE-2020-8555
GKE;
Descrição | Gravidade |
---|---|
A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a última versão do patch, como detalhamos a seguir. Não é necessário fazer upgrade do nó. O que fazer?Para quase todos os clientes, nenhuma ação é necessária. A grande maioria dos clusters já executa uma versão com o patch. As seguintes versões do GKE ou superiores contêm a solução para essa vulnerabilidade:
Os clusters que usam canais de lançamento já estão nas versões do plano de controle com a mitigação. Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle. Um invasor com permissões para criar um pod com determinados
tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou
permissões para criar um StorageClass pode fazer com que
Combinado com um meio de vazar os resultados de |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó. O que devo fazer?As seguintes versões do GKE no VMware ou mais recentes contêm a correção dessa vulnerabilidade:
Se você estiver usando uma versão anterior, faça upgrade do cluster atual para uma versão que contenha a correção. Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle. Um invasor com permissões para criar um pod com determinados
tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou
permissões para criar um StorageClass pode fazer com que
Combinado com um meio de vazar os resultados de |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó. O que devo fazer?O GKE v0.2.0 na AWS ou mais recente já inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário. Qual vulnerabilidade é corrigida por esse patch?Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle. Um invasor com permissões para criar um pod com determinados
tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou
permissões para criar um StorageClass pode fazer com que
Combinado com um meio de vazar os resultados de |
Média |
GCP-2020-006
Publicado em: 01/062020Referência: problema 91507 do Kubernetes
GKE;
Descrição | Gravidade |
---|---|
O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lidos ou modificado por essa invasão. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade. Recomendamos que você faça upgrade para a versão mais recente do patch, conforme detalhado abaixo. O que devo fazer?Para mitigar essa vulnerabilidade, faça o upgrade do seu plano de controle e dos seus nós para uma das versões com patch listadas a seguir. Os clusters nos canais de lançamento já estão executando uma versão com patch no plano de controle e nos nós:
Em geral, pouquíssimos contêineres exigem Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch mitiga a seguinte vulnerabilidade: A vulnerabilidade descrita na capacidade |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lidos ou modificado por essa invasão. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade. Recomendamos que você faça upgrade para a versão mais recente do patch, conforme detalhado abaixo. O que devo fazer?Para mitigar essa vulnerabilidade do GKE na VMware, faça upgrade dos clusters para a versão a seguir ou mais recente:
Em geral, pouquíssimos contêineres exigem Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch mitiga a seguinte vulnerabilidade: A vulnerabilidade descrita na capacidade |
Média |
os clusters do GKE no
Descrição | Gravidade |
---|---|
O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lidos ou modificado por essa invasão. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade. Recomendamos que você faça upgrade para a versão mais recente do patch, conforme detalhado abaixo. O que devo fazer?Faça o download da ferramenta de linha de comando anthos-gke com a versão a seguir ou mais recente e recrie os clusters de gerenciamento e usuário:
Em geral, pouquíssimos contêineres exigem Reduza a capacidade de
Qual vulnerabilidade é corrigida por esse patch?O patch mitiga a seguinte vulnerabilidade: A vulnerabilidade descrita na capacidade |
Média |
GCP-2020-005
Publicado em: 07/052020Atualizado em: 07/05/2020
ReferênciaCVE-2020-8835
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-8835, permitindo que o escape de contêiner consiga privilégios raiz no nó host. Os nós do Ubuntu do Google Kubernetes Engine executando a versão 1.16 ou 1.17 do GKE foram afetados por essa vulnerabilidade. Recomendamos que você faça upgrade para a versão de patch mais recente assim que possível, conforme detalhado abaixo. Os nós executando o SO otimizado para contêineres não foram afetados. Os nós em execução no GKE no VMware não foram afetados. O que devo fazer?Para a maioria dos clientes, nenhuma outra ação é necessária. Apenas os nós executando o Ubuntu na versão 1.16 ou 1.17 do GKE foram afetados. Para fazer upgrade dos seus nós, primeiro você precisa fazer o upgrade do mestre para a versão mais recente. Esse patch será disponibilizado nestas versões do Kubernetes: 1.16.8-gke.12, 1.17.4-gke.10 e lançamentos posteriores. Acompanhe a disponibilidade dos patches nas notas de lançamento. Qual vulnerabilidade é corrigida por esse patch?O patch reduz os riscos da seguinte vulnerabilidade: A CVE-2020-8835 (em inglês) descreve uma vulnerabilidade na versão 5.5.0 e posteriores do kernel do Linux, que permite que um contêiner mal-intencionado (com interação mínima do usuário na forma de um exec) leia e grave na memória do kernel e consiga a execução do código no nível da raiz do nó do host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade. |
Alto |
GCP-2020-004
Publicado em: 07/05/2020Atualizado em: 07-05-2020
ReferênciaCVE-2019-11254
os clusters do GKE no
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês). É possível atenuar essa vulnerabilidade limitando os clientes que têm acesso à rede aos servidores da API Kubernetes. O que devo fazer?Recomendamos que você faça upgrade dos seus clusters para corrigir as versões com a correção dessa vulnerabilidade assim que elas estiverem disponíveis. Veja abaixo as versões de patch que resolvem o problema:
Quais vulnerabilidades são corrigidas por esse patch?A de negação de serviço (DoS) a seguir: |
Média |
GCP-2020-003
Publicado em: 31/03/2020Atualizado em: 31/03/2020
ReferênciaCVE-2019-11254
GKE;
Descrição | Gravidade |
---|---|
Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês). Os clusters do GKE que usam redes mestras autorizadas e clusters privados sem endpoint público reduzem essa vulnerabilidade. O que devo fazer?Recomendamos que você faça upgrade do seu cluster para uma versão de patch com a correção da vulnerabilidade. Veja abaixo as versões de patch que resolvem o problema:
Quais vulnerabilidades são corrigidas por esse patch?A de negação de serviço (DoS) a seguir: |
Média |
GCP-2020-002
Publicação: 23/03/2020Atualizado em: 23/03/2020
Referência: CVE-2020-8551, CVE-2020-8552
GKE;
Descrição | Gravidade |
---|---|
O Kubernetes divulgou duas vulnerabilidades de negação de serviço (em inglês), uma com impacto no servidor de API e outra no Kubelets. Para mais detalhes, veja os seguintes problemas do Kubernetes: 89377 e 89378 (ambos em inglês). O que devo fazer?Todos os usuários do GKE estão protegidos contra a CVE-2020-8551, a menos que usuários que não sejam de confiança possam enviar solicitações dentro da rede interna dos clusters. Além disso, o uso das redes mestras autorizadas reduz a CVE-2020-8552. Quando essas vulnerabilidades serão corrigidas?Os patches para a CVE-2020-8551 exigem um upgrade de nó. Abaixo, as versões de patch que mitigam o problema:
Os patches para a CVE-2020-8552 exigem o upgrade de um mestre. Abaixo, as versões de patch que mitigam o problema:
|
Médio |
GCP-january_21_2020
Publicado em: 21/01/2020Atualizado em: 24/01/2020
ReferênciaCVE-2019-11254
GKE;
Descrição | Gravidade |
---|---|
Atualização de 24/01/2020: o processo de disponibilização de versões com patch está sendo realizado e será concluído em 25 de janeiro de 2020. A Microsoft divulgou uma vulnerabilidade na Windows CryptoAPI e em sua validação de assinaturas de curva elíptica. Para mais informações, consulte o anúncio da Microsoft. O que fazer? Para a maioria dos clientes, nenhuma outra ação é necessária. Somente os nós com Windows Server em execução são afetados. Nesse caso, para reduzir a vulnerabilidade, é necessário atualizar os nós e as cargas de trabalho em contêineres executadas neles para as versões com patch. Para atualizar os contêineres: É necessário recriá-los. Para isso, use as imagens de contêiner de base mais recentes da Microsoft selecionando uma tag de servercore ou nanoserver (páginas em inglês) que tenha o valor "1/14/2020" ou posterior em "LastUpdated Time". Para atualizar os nós: O processo de disponibilização de versões com patch está sendo realizado e será concluído em 24 de janeiro de 2020. Aguarde esse período e faça upgrade dos nós para uma versão com patch do GKE ou use o Windows Update para implantar manualmente o patch mais recente do Windows a qualquer momento. Abaixo, as versões de patch que incluem a mitigação:
Quais vulnerabilidades são corrigidas por esse patch? O patch reduz as vulnerabilidades a seguir: CVE-2020-0601: também conhecida como Vulnerabilidade de spoofing da Windows CryptoAPI. Usada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões TLS com o software afetado. |
Pontuação base do NVD: 8,1 (alta) |
Boletins de segurança arquivados
Para boletins de segurança anteriores a 2020, consulte o Arquivo de boletins de segurança.