Buletin keamanan

Semua buletin keamanan untuk produk berikut dijelaskan di halaman ini:

  • Google Kubernetes Engine (GKE)
  • Google Distributed Cloud (khusus software) di VMware
  • GKE on AWS
  • GKE on Azure
  • Google Distributed Cloud (khusus software) pada bare metal

Kerentanan sering kali dirahasiakan di bawah embargo sampai pihak yang terkena dampak memiliki memiliki kesempatan untuk mengatasinya. Dalam kasus ini, catatan rilis produk akan lihat "pembaruan keamanan" sampai embargo dicabut. Pada tahap ini, catatan akan diperbarui untuk menunjukkan kerentanan yang dapat diatasi patch.

Saat GKE menerbitkan buletin keamanan yang berkorelasi langsung dengan konfigurasi atau versi cluster Anda, kami mungkin mengirimkan SecurityBulletinEvent notifikasi cluster yang memberikan informasi tentang kerentanan dan tindakan yang dapat diambil, jika berlaku. Untuk mengetahui informasi tentang cara menyiapkan cluster notifikasi, lihat Notifikasi cluster.

Untuk informasi selengkapnya tentang cara Google mengelola patch dan kerentanan keamanan untuk GKE dan GKE Enterprise, lihat Patching keamanan.

Platform GKE dan GKE Enterprise tidak menggunakan komponen seperti ingress-nginx dan runtime container CRI-O, serta tidak terpengaruh oleh kerentanan dalam komponen tersebut. Jika Anda menginstal komponen dari sumber lain, lihat update keamanan dan saran patching komponen di sumbernya.

Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini. Berlangganan

GCP-2024-045

Dipublikasikan: 17-07-2024
Referensi: CVE-2024-26925

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-044

Dipublikasikan: 16-07-2024
Referensi: CVE-2024-36972

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-043

Dipublikasikan: 16-07-2024
Referensi: CVE-2024-26921

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-042

Dipublikasikan: 15-07-2024
Diperbarui: 18-07-2024
Referensi: CVE-2024-26809

Update 18-07-2024: Memperjelas bahwa cluster Autopilot di cluster default tidak akan terpengaruh.

GKE

Diperbarui: 18-07-2024

Deskripsi Keparahan

Pembaruan 18-07-2024: Versi asli buletin ini salah menyatakan bahwa cluster Autopilot terdampak. cluster Autopilot di konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menyetel profil seccomp Unconfined atau mengizinkan kemampuan CAP_NET_ADMIN.


Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-041

Dipublikasikan: 08-07-2024
Diperbarui: 19-07-2024
Referensi: CVE-2023-52654, CVE-2023-52656

Update 19-07-2024: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE.

GKE

Diperbarui: 19-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 19-07-2024: Versi GKE berikut berisi kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-040

Dipublikasikan: 01-07-2024
Diperbarui: 11-07-2024
Referensi: CVE-2024-6387

Update 11-07-2024: Versi patch tambahan untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure.

Update 03-07-2024: Versi patch tambahan untuk GKE

Pembaruan 02-07-2024:

  • Memperjelas bahwa klaster Autopilot terdampak dan akan membutuhkan tindakan pengguna.
  • Menambahkan penilaian dampak dan langkah-langkah mitigasi untuk GDC (VMware), GKE di AWS, dan GKE di Azure.
  • Memperbaiki buletin keamanan GDC (bare metal) untuk memperjelas bahwa GDC (bare metal) tidak secara langsung dan pelanggan harus menghubungi vendor OS untuk {i>patch<i}.

GKE

Diperbarui: 03-07-2024

Deskripsi Keparahan

Pembaruan 03-07-2024: Peluncuran yang dipercepat sedang berlangsung dan akan diharapkan membuat versi {i>patch<i} baru tersedia di semua zona dengan 3 Juli 2024 pukul 17.00 Waktu Musim Panas Pasifik Kanada dan Amerika Serikat (UTC-7). Kepada segera dapatkan notifikasi setelah patch tersedia untuk cluster tertentu, gunakan notifikasi cluster.


Update 02-07-2024: Kerentanan ini memengaruhi kedua mode Autopilot serta cluster mode Standar. Setiap bagian selanjutnya akan memberi tahu Anda mode untuk bagian mana yang berlaku.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Semua versi image Container Optimized OS dan Ubuntu yang didukung di GKE menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Cluster GKE dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani dengan prioritas tertinggi untuk mitigasi.

Bidang kontrol GKE tidak rentan terhadap masalah ini.

Apa yang harus saya lakukan?

Update 03-07-2024: Versi patch untuk GKE

Peluncuran yang dipercepat sedang berlangsung dan diperkirakan akan membuat versi patch baru tersedia di semua zona mulai 3 Juli 2024 pukul 17.00 AS dan Waktu Musim Panas Pasifik Kanada (UTC-7).

Cluster dan node yang mengaktifkan upgrade otomatis akan mulai diupgrade seiring berjalannya minggu, tetapi karena tingkat keparahan kerentanan, sebaiknya lakukan upgrade secara manual mendapatkan {i>patch<i} secepat mungkin.

Untuk klaster Autopilot dan Standar, mengupgrade bidang kontrol ke versi yang telah di-patch. Selain itu, untuk cluster mode Standar, mengupgrade kumpulan node Anda ke versi yang telah di-patch. Cluster Autopilot akan mulai mengupgrade node Anda agar sesuai versi bidang kontrol sesegera mungkin.

Versi GKE yang di-patch tersedia untuk setiap versi yang didukung guna meminimalkan perubahan yang diperlukan untuk menerapkan {i>patch<i}. Nomor versi untuk setiap versi baru adalah kenaikan pada digit terakhir pada nomor versi yang sesuai dengan versi yang ada. Misalnya, jika Anda menggunakan 1.27.14-gke.1100000, Anda akan mengupgrade ke 1.27.14-gke.1100002 ke mendapatkan perbaikan dengan perubahan sekecil mungkin. GKE berikut yang di-patch versi yang tersedia:

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

Untuk memeriksa apakah patch tersedia di zona atau region cluster Anda, jalankan perintah berikut berikut:

gcloud container get-server-config --location=LOCATION

Ganti LOCATION dengan zona atau region Anda.


Pembaruan 02-07-2024: Mode Autopilot dan mode Standard cluster harus diupgrade sesegera mungkin setelah versi patch tersedia.


Versi GKE yang di-patch yang menyertakan OpenSSH yang telah diupdate akan dibuat tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, mengaktifkan notifikasi cluster. Sebaiknya lakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang disebutkan, sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

Update 02-07-2024: Bagian ini berlaku untuk Autopilot dan Cluster standar.


Jika cluster dibuat dengan enable-private-nodes, node akan bersifat pribadi, yang mengurangi kerentanan dengan menghilangkan eksposur ke Internet. Jalankan perintah berikut untuk menentukan apakah cluster Anda telah mengaktifkan node pribadi:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Jika nilai yang ditampilkan adalah True, semua node adalah node pribadi untuk cluster ini dan kerentanan dapat dimitigasi. Jika nilai kosong atau salah (false), lanjutkan untuk menerapkan salah satu mitigasi di bagian berikut.

Untuk menemukan semua cluster yang awalnya dibuat dengan node publik, gunakan kueri Inventaris Aset Cloud ini dalam proyek atau organisasi:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Jangan izinkan SSH ke node cluster

Update 02-07-2024: Bagian ini berlaku untuk Autopilot dan Cluster standar.


Jaringan default sudah diisi otomatis dengan aturan firewall default-allow-ssh untuk mengizinkan akses SSH dari internet publik. Untuk menghapus akses ini, Anda dapat:

  • Jika ingin, buat aturan untuk mengizinkan akses SSH yang Anda perlukan dari jaringan tepercaya ke node GKE atau VM Compute Engine lainnya dalam project.
  • Nonaktifkan aturan firewall default dengan perintah berikut:
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Jika Anda telah membuat aturan {i>firewall<i} lain yang mungkin mengizinkan SSH melalui TCP pada porta 22, menonaktifkannya, atau membatasi IP sumber ke jaringan yang tepercaya.

Memastikan bahwa Anda tidak dapat lagi melakukan SSH ke node cluster dari Internet. Konfigurasi {i>firewall<i} ini mengurangi kerentanan.

Mengonversi kumpulan node publik menjadi pribadi

Update 02-07-2024: Untuk cluster Autopilot yang awalnya dibuat sebagai cluster publik, Anda dapat menempatkan workload di node pribadi dengan menggunakan nodeSelectors. Namun, node Autopilot yang menjalankan beban kerja sistem pada cluster yang awalnya yang dibuat sebagai cluster publik akan tetap menjadi {i>node<i} publik dan harus dilindungi dengan menggunakan perubahan {i>firewall<i} yang dijelaskan di bagian sebelumnya.


Untuk melindungi cluster yang awalnya dibuat dengan node publik secara optimal, sebaiknya Anda terlebih dahulu melarang SSH melalui {i>firewall<i} seperti yang telah dijelaskan. Jika Anda tidak dapat melarang menerapkan SSH melalui aturan firewall, Anda dapat mengonversi node pool publik di GKE Cluster standar menjadi pribadi dengan mengikuti panduan ini untuk mengisolasi kumpulan node.

Mengubah konfigurasi SSHD

Update 02-07-2024: Bagian ini hanya berlaku untuk Standard klaster. Workload autopilot tidak diizinkan untuk mengubah konfigurasi node.


Jika tidak satu pun dari mitigasi ini dapat diterapkan, kami juga telah memublikasikan daemonset yang menetapkan LoginGraceTime SSHD ke nol, dan memulai ulang daemon SSH. Ini {i>daemonset<i} dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah akses SSH. Daemonset ini harus dihapus setelah patch diterapkan.

Kritis

GDC (VMware)

Diperbarui: 11-07-2024

Deskripsi Keparahan

Update 11-07-2024: Versi software GDC berikut untuk VMware telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade workstation admin Anda, ke cluster admin, dan cluster pengguna (termasuk kumpulan node) ke salah satu versi atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade cluster atau kumpulan node.

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

Pembaruan 02-07-2024 pada buletin ini salah menyatakan bahwa semua versi yang didukung image Ubuntu pada perangkat lunak GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini. Gambar Ubuntu pada perangkat lunak GDC untuk VMware versi 1.16 cluster menjalankan versi OpenSSH yang tidak rentan terhadap masalah ini. Ubuntu image dalam software GDC untuk VMware 1.28 dan 1.29 rentan. Image OS yang Dioptimalkan dengan Container pada semua versi Software GDC untuk VMware rentan terhadap masalah ini.


Update 02-07-2024: Semua versi Container-Optimized OS yang didukung dan image Ubuntu pada software GDC untuk versi VMware yang menjalankan OpenSSH yang rentan terhadap masalah ini.

Software GDC untuk cluster VMware dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: Software GDC yang di-patch untuk versi VMware yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya terapkan hal berikut mitigasi sesuai kebutuhan.

Jangan izinkan SSH ke node cluster

Anda dapat mengubah pengaturan jaringan infrastruktur untuk melarang konektivitas SSH dari sumber yang tidak terpercaya, seperti internet publik.

Ubah konfigurasi sshd

Jika Anda tidak dapat menerapkan mitigasi sebelumnya, kami telah memublikasikan DaemonSet yang menyetel sshd LoginGraceTime ke nol dan memulai ulang daemon SSH. Ini DaemonSet dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi layanan penyimpanan dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah akses SSH yang sah. Hapus DaemonSet ini setelah patch diterapkan.


Kritis

GKE on AWS

Diperbarui: 11-07-2024

Deskripsi Keparahan

Update 11-07-2024: Versi GKE berikut di AWS telah diperbarui dengan kode untuk memperbaiki kerentanan ini:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Upgrade GKE Anda di bidang kontrol dan node pool AWS ke salah satu atau versi yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster AWS dan Mengupdate kumpulan node.


Update 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di AWS menjalankan versi OpenSSH yang rentan terhadap masalah ini.

GKE di cluster AWS dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: GKE yang di-patch pada versi AWS yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya Anda mempelajari langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan sebagai diperlukan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di AWS tidak menyediakan mesin apa pun dengan salah satu alamat IP publik atau dengan aturan firewall yang mengizinkan lalu lintas data ke porta 22 secara {i>default<i}. Namun, tergantung pada konfigurasi subnet Anda, komputer mendapatkan alamat IP publik selama penyediaan.

Untuk memeriksa apakah node disediakan dengan alamat IP publik, melihat konfigurasi subnet yang terkait dengan resource kumpulan node AWS Anda.

Jangan izinkan SSH ke node cluster

Meskipun GKE di AWS tidak mengizinkan traffic pada port 22 pada node mana pun dengan secara default, pelanggan dapat menambahkan grup keamanan tambahan ke node pool, sehingga memungkinkan traffic SSH.

Sebaiknya Anda hapus atau cakupan di bawah aturan yang sesuai dari grup keamanan yang disediakan.

Mengonversi kumpulan node publik menjadi pribadi

Untuk melindungi cluster dengan node publik secara optimal, sebaiknya larang SSH melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika Anda tidak dapat melarang SSH dengan aturan grup keamanan, Anda dapat mengonversi kumpulan node publik menjadi menonaktifkan opsi untuk menetapkan IP publik secara otomatis ke komputer dalam subnet dan menyediakan kembali kumpulan node.


Kritis

GKE on Azure

Diperbarui: 11-07-2024

Deskripsi Keparahan

Update 11-07-2024: Versi GKE berikut di Azure telah diperbarui dengan kode untuk memperbaiki kerentanan ini:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Upgrade GKE Anda di bidang kontrol dan node pool Azure ke salah satu opsi berikut atau versi yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster Azure Anda dan Mengupdate kumpulan node.


Update 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di Azure menjalankan versi OpenSSH yang rentan terhadap masalah ini.

GKE pada cluster Azure dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: GKE yang di-patch pada versi Azure yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya Anda mempelajari langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan sebagai diperlukan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di Azure tidak menyediakan komputer apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan lalu lintas data ke porta 22 secara {i>default<i}. Untuk meninjau konfigurasi Azure untuk memeriksa apakah ada alamat IP publik yang dikonfigurasi di GKE Anda di cluster Azure, jalankan perintah berikut:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
Jangan izinkan SSH ke node cluster

Meskipun GKE di Azure tidak mengizinkan traffic pada port 22 pada node mana pun dengan secara default, pelanggan dapat memperbarui aturan NetworkSecurityGroup ke node pool, traffic SSH dari internet publik.

Kami sangat menyarankan Anda meninjau Grup Keamanan Jaringan (NSG) yang terkait dengan ke cluster Kubernetes Anda. Jika ada aturan NSG yang mengizinkan traffic masuk yang tidak dibatasi di port 22 (SSH), lakukan salah satu hal berikut:

  • Hapus aturan sepenuhnya: Jika akses SSH ke node cluster tidak tersedia diperlukan dari internet, hapus aturan untuk menghilangkan vektor serangan potensial.
  • Cakupan ke bawah aturan: Batasi akses masuk di port 22 hanya ke alamat atau rentang IP tertentu yang memerlukannya. Hal ini meminimalkan permukaan yang terekspos untuk serangan yang potensial.
Mengonversi kumpulan node publik menjadi pribadi

Untuk melindungi cluster dengan node publik secara optimal, sebaiknya larang SSH melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika Anda tidak dapat melarang SSH dengan aturan grup keamanan, Anda dapat mengonversi kumpulan node publik menjadi menghapus alamat IP publik yang terkait dengan VM.

Untuk menghapus alamat IP publik dari VM dan menggantinya dengan alamat IP pribadi konfigurasi, lihat Memisahkan alamat IP publik dari VM Azure.

Dampak: Setiap koneksi yang ada yang menggunakan alamat IP publik akan terganggu. Pastikan Anda memiliki metode akses alternatif, seperti VPN atau Bastion Azure.


Kritis

GDC (bare metal)

Diperbarui: 02-07-2024

Deskripsi Keparahan

Pembaruan 02-07-2024: Versi asli buletin ini untuk Software GDC untuk bare metal salah menyatakan bahwa versi patch sedang berlangsung. Perangkat lunak GDC untuk bare metal tidak terpengaruh secara langsung karena tidak mengelola {i>daemon<i} SSH atau konfigurasi sistem operasi. Oleh karena itu, versi {i>patch<i} adalah tanggung jawab penyedia sistem operasi, sebagaimana dijelaskan dalam Apa yang harus saya lakukan?.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: Hubungi penyedia OS Anda guna mendapatkan patch untuk sistem operasi digunakan dengan perangkat lunak GDC untuk bare metal.

Sebelum Anda menerapkan {i>patch<i} vendor OS, pastikan komputer yang dapat dijangkau publik tidak mengizinkan koneksi SSH dari internet. Jika tidak memungkinkan, alternatifnya adalah dengan setel LoginGraceTime ke nol dan mulai ulang server sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Perlu diperhatikan bahwa perubahan konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah dengan akses SSH yang sah.


Teks asli 01-07-2024 (lihat update 02-07-2024 sebelumnya untuk koreksi):

Kritis

GCP-2024-039

Dipublikasikan: 28-06-2024
Referensi: CVE-2024-26923

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-038

Dipublikasikan: 26-06-2024
Referensi: CVE-2024-26924

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-036

Dipublikasikan: 18-06-2024
Referensi: CVE-2024-26584

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-035

Dipublikasikan: 12-06-2024
Diperbarui: 18-07-2024
Referensi: CVE-2024-26584

Update 18-07-2024: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE dan menambahkan versi patch untuk versi 1.27 pada kumpulan node Container-Optimized OS.

GKE

Diperbarui: 18-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgradekan Kumpulan node OS yang Dioptimalkan Container dengan versi patch berikut atau yang lebih baru:

  • 1.27.15-gke.1125000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Versi minor berikut terpengaruh, tetapi versi patch-nya tidak tersedia. Kita akan perbarui buletin ini saat versi patch tersedia:

  • 1,26
  • 1.27

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-034

Dipublikasikan: 11-06-2024
Diperbarui: 10-07-2024
Referensi: CVE-2024-26583

Update 10-07-2024: Menambahkan versi patch untuk Node OS yang Dioptimalkan dengan Container yang menjalankan versi minor 1.26 dan 1.27 dan menambahkan versi {i>patch<i} untuk {i>node<i} Ubuntu.

GKE

Diperbarui: 10-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26583

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 10-07-2024: Versi GKE berikut adalah memperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

Untuk versi minor 1.26 dan 1.27, upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26583

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26583

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26583

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2024-26583

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-033

Dipublikasikan: 10-06-2024
Referensi: CVE-2022-23222

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2022-23222

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2022-23222

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2022-23222

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2022-23222

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

  • CVE-2022-23222

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-031

Dipublikasikan: 24-05-2024
Referensi: CVE-2024-4323

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di VMware tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di AWS tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di Azure tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE pada Bare Metal tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2024-030

Dipublikasikan: 15-05-2024
Diperbarui: 18-07-2024
Referensi: CVE-2023-52620

Update 18-07-2024: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE.

GKE

Diperbarui: 18-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-029

Dipublikasikan: 14-05-2024
Referensi: CVE-2024-26642

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-028

Dipublikasikan: 13-05-2024
Diperbarui: 22-05-2024
Referensi: CVE-2024-26581

Update 22-05-2024: Menambahkan versi patch untuk node Ubuntu.

GKE

Diperbarui: 22-05-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 22-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-027

Dipublikasikan: 08-05-2024
Diperbarui: 09-05-2024, 15-05-2024
Referensi: CVE-2024-26808

Update 15-05-2024: Menambahkan versi patch untuk GKE Kumpulan node Ubuntu.

Update 09-05-2024: Koreksi tingkat keparahan dari Sedang menjadi Tinggi dan mengklarifikasi bahwa cluster Autopilot GKE dalam konfigurasi default tidak terdampak.

GKE

Diperbarui: 09-05-2024, 15-05-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang ke Tinggi. Buletin aslinya menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.


Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 15-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-026

Dipublikasikan: 07-05-2024
Diperbarui: 09-05-2024
Referensi: CVE-2024-26643

Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang menjadi Tinggi.

GKE

Diperbarui: 09-05-2024

Deskripsi Keparahan

Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang menjadi Tinggi.


Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-024

Dipublikasikan: 25-04-2024
Diperbarui: 18-07-2024
Referensi: CVE-2024-26585

Update 18-07-2024: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE.

GKE

Diperbarui: 18-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-022

Dipublikasikan: 03-04-2024
Diperbarui: 17-07-2024
Referensi: CVE-2023-45288

Update 17-07-2024: Menambahkan versi patch untuk GKE pada VMware.
Update 09-07-2024: Menambahkan versi patch untuk GKE pada Bare Metal.
Update 24-04-2024: Menambahkan versi patch untuk GKE.

GKE

Diperbarui: 24-04-2024

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh.

Cluster Standar dan Autopilot GKE terpengaruh.

Apa yang harus saya lakukan?

Update 24-04-2024: Menambahkan versi patch untuk GKE.

Versi GKE berikut mencakup patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Lakukan mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat memitigasi cluster dari serangan semacam ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada.

Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke bidang kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint bidang kontrol.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Tinggi

GKE on VMware

Diperbarui: 17-07-2024

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Update 17-07-2024: Menambahkan versi patch untuk GKE pada VMware.

Versi GKE pada VMware berikut menyertakan kode untuk memperbaiki masalah ini kerentanan. Upgrade GKE pada cluster VMware Anda ke berikut ini versi atau yang lebih baru:

  • 1.29.0
  • 1.28.500
  • 1.16.8

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi VMware yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi AWS yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di Azure versi Azure yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Tinggi

GKE on Bare Metal

Diperbarui: 09-07-2024

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Update 09-07-2024: Menambahkan versi patch untuk GKE pada Bare Metal.

Versi GKE pada Bare Metal berikut menyertakan kode untuk memperbaiki masalah ini kerentanan. Upgrade GKE Anda pada cluster Bare Metal ke versi atau yang lebih baru:

  • 1.29.100
  • 1.28.600
  • 1.16.9

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Tinggi

GCP-2024-018

Dipublikasikan: 12-03-2024
Diperbarui: 06-05-2024
Referensi: CVE-2024-1085

Update 06-05-2024: Versi patch tambahan untuk GKE Ubuntu node pool dan menghapus elemen garis horizontal tambahan dari update 04-04-2024.

Update 04-04-2024: Versi minimum yang dikoreksi untuk Kumpulan node GKE Container-Optimized OS.

GKE

Diperbarui: 06-05-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru.

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

Update 04-04-2024: Koreksi versi minimum untuk kumpulan node GKE Container-Optimized OS.

Versi GKE minimum yang berisi perbaikan OS yang Dioptimalkan untuk Container yang tercantum sebelumnya salah. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini pada Container-Optimized OS. Upgrade kumpulan node Container-Optimized OS Anda ke versi berikut atau yang lebih baru:

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-017

Dipublikasikan: 06-03-2024
Referensi: CVE-2023-3611

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-014

Dipublikasikan: 26-02-2024
Referensi: CVE-2023-3776

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-013

Dipublikasikan: 23-02-2024
Referensi: CVE-2023-3610

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-012

Dipublikasikan: 20-02-2024
Referensi: CVE-2024-0193

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-011

Dipublikasikan: 15-02-2024
Referensi: CVE-2023-6932

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-010

Dipublikasikan: 14-02-2024
Diperbarui: 17-04-2024
Referensi: CVE-2023-6931

Update 17-04-2024: Menambahkan versi patch untuk GKE pada VMware.

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 17-04-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Update 17-04-2024: Menambahkan versi patch untuk GKE di VMware.


Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200
  • 1.16.6
  • 1.15.10


Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-008

Dipublikasikan: 12-02-2024
Referensi: CVE-2023-5528

GKE

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

Cluster GKE Standard berjalan Windows Server node dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh.

Cluster GKE Autopilot dan node pool GKE GKE Sandbox tidak terpengaruh karena mereka tidak mendukung {i>node<i} Windows Server.

Apa yang harus saya lakukan?

Pastikan apakah Anda menggunakan node Windows Server pada cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi eksploitasi yang kuat.

Update cluster GKE dan kumpulan node ke versi yang di-patch. Tujuan versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool Windows Server Anda ke salah satu layanan GKE versi atau yang lebih baru:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

Tinggi

GKE on VMware

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

GKE pada cluster VMware yang berjalan Windows Server node dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh.

Apa yang harus saya lakukan?

Pastikan apakah Anda menggunakan node Windows Server pada cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi eksploitasi yang kuat.

Mengupdate GKE pada cluster VMware dan node pool ke versi yang di-patch. Tujuan versi GKE di VMware berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual kumpulan node cluster dan Windows Server Anda ke salah satu GKE berikut di VMware versi atau yang lebih baru:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

Tinggi

GKE on AWS

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

GKE pada cluster AWS tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on Azure

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

GKE pada cluster Azure tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

GKE pada cluster Bare Metal tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GCP-2024-005

Dipublikasikan: 31-01-2024
Diperbarui: 06-05-2024
Referensi: CVE-2024-21626

Update 06-05-2024: Penambahan versi patch untuk GKE di AWS dan GKE di Azure.
Update 02-04-2024: Menambahkan versi patch untuk GKE pada Bare Metal
Update 06-03-2024: Menambahkan versi patch untuk GKE pada VMware
Update 28-02-2024: Menambahkan versi patch untuk Ubuntu
Pembaruan 15-02-2024: Mengklarifikasi bahwa versi patch Ubuntu 1.25 dan 1.26 di Update 14-02-2024 dapat menyebabkan node tidak responsif.
Update 14-02-2024: Menambahkan versi patch untuk Ubuntu
Update 06-02-2024: Versi patch ditambahkan untuk OS yang Dioptimalkan untuk Container.

GKE

Diperbarui: 06-03-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod di node Ubuntu OS dan Container-Optimized mungkin bisa mendapatkan akses penuh ke sistem file {i>node<i}.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster menggunakan GKE Sandbox tidak terdampak.

Apa yang harus saya lakukan?

Update 28-02-2024: Versi GKE berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Update 15-02-2024: Karena masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak responsif. Larangan dan upgrade ke versi patch berikut. Kami akan memperbarui buletin ini ketika {i>patch<i} yang lebih baru versi untuk Ubuntu tersedia untuk 1.25 dan 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Jika Anda sudah meningkatkan ke salah satu versi {i>patch<i} ini, downgrade secara manual kumpulan node Anda ke versi sebelumnya di saluran rilis.


Update 14-02-2024: Versi GKE berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Update 06-02-2024: Versi GKE berikut memiliki telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool Container-Optimized OS Anda ke salah satu Versi GKE atau yang lebih baru:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.


Kami mengupdate GKE dengan kode untuk memperbaiki kerentanan ini. Kita akan memperbaruinya buletin ketika versi tambalan tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Tinggi

GKE on VMware

Diperbarui: 06-03-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod di node Ubuntu OS dan Container-Optimized mungkin bisa mendapatkan akses penuh ke sistem file {i>node<i}.

Apa yang harus saya lakukan?

Update 06-03-2024: Versi GKE pada VMware berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Versi patch dan penilaian tingkat keparahan untuk GKE pada VMware sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Tinggi

GKE on AWS

Diperbarui: 06-05-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod di node Ubuntu OS dan Container-Optimized mungkin bisa mendapatkan akses penuh ke sistem file {i>node<i}.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE di AWS berikut memiliki telah diupdate dengan patch untuk CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Tinggi

GKE on Azure

Diperbarui: 06-05-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod di node Ubuntu OS dan Container-Optimized mungkin bisa mendapatkan akses penuh ke sistem file {i>node<i}.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE berikut di Azure memiliki telah diupdate dengan patch untuk CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Tinggi

GKE on Bare Metal

Diperbarui: 02-04-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod mungkin bisa mendapatkan akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 02-04-2024: Versi GKE pada Bare Metal berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

Versi patch dan penilaian tingkat keparahan untuk GKE pada Bare Metal sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Tinggi

GCP-2024-004

Dipublikasikan: 24-01-2024
Diperbarui: 07-02-2024
Referensi: CVE-2023-6817

Update 07-02-2024: Menambahkan versi patch untuk Ubuntu.

GKE

Diperbarui: 07-02-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 07-02-2024: Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-003

Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024
Update 26-01-2024: Mengklarifikasi jumlah cluster yang terpengaruh dan tindakan yang yang kami ambil untuk membantu mengurangi dampaknya.

GKE

Diperbarui: 26-01-2024

Deskripsi Keparahan

Pembaruan 26-01-2024: Riset keamanan yang menemukan sejumlah kecil Cluster GKE dengan kesalahan konfigurasi yang dibuat pelanggan dan melibatkan grup system:authenticated sekarang telah dipublikasikan. Blog peneliti posting mengacu pada 1.300 cluster dengan beberapa binding yang salah dikonfigurasi, dan 108 dengan hak istimewa pengguna. Kami telah bekerja sama dengan pelanggan yang terkena dampak untuk memberi tahu mereka dan membantu menghapus {i>bindings<i} yang salah dikonfigurasi.


Kami telah mengidentifikasi beberapa cluster di mana pengguna memberikan izin pada Kubernetes hak istimewa ke grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa dan pemberian hak terendah akses ke kelompok pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk instruksi tentang cara menemukan jenis binding ini.

Baru-baru ini, peneliti keamanan melaporkan temuan klaster dengan RBAC kesalahan konfigurasi melalui program pelaporan kerentanan kami.

Pendekatan Google terhadap otentikasi adalah melakukan otentikasi ke Google Cloud dan GKE sesederhana dan seaman mungkin tanpa menambahkan langkah konfigurasi yang kompleks. Authentication hanya memberi tahu kita siapa penggunanya; Otorisasi adalah di mana akses ditentukan. Jadi grup system:authenticated di GKE yang berisi semua pengguna yang diautentikasi melalui penyedia identitas Google berfungsi sebagaimana mestinya dan berfungsi dengan cara yang sama seperti IAM ID allAuthenticatedUsers.

Dengan mengingat hal ini, kami telah mengambil beberapa langkah untuk mengurangi risiko pengguna membuat error otorisasi dengan pengguna bawaan Kubernetes dan grup, termasuk system:anonymous, system:authenticated, dan system:unauthenticated. Semua pengguna/grup tersebut merupakan risiko bagi cluster jika izin diberikan. Rab membahas beberapa aktivitas penyerang yang menargetkan kesalahan konfigurasi RBAC dan pertahanan yang tersedia di Kubecon pada November 2023.

Untuk melindungi pengguna dari error otorisasi yang tidak disengaja dengan sistem ini pengguna/grup, kami memiliki:

  • Oleh binding baru baru yang diblokir secara default dari ClusterRole dengan hak istimewa tinggi cluster-admin kepada Pengguna system:anonymous, Grup system:authenticated, atau Grup system:unauthenticated di GKE versi 1.28.
  • Menambahkan aturan deteksi ke dalam Peristiwa Deteksi Ancaman (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) sebagai bagian dari dengan Security Command Center.
  • Membuat aturan pencegahan yang dapat dikonfigurasi ke dalam Pengontrol Kebijakan dengan K8sRestrictRoleBindings.
  • Mengirim notifikasi email ke semua pengguna GKE dengan binding ke pengguna/grup yang meminta mereka meninjau konfigurasi.
  • Membuat fitur otorisasi jaringan dan membuat rekomendasi untuk membatasi akses jaringan ke cluster sebagai lapisan pertama pertahanan utama.
  • Peningkatan kesadaran tentang masalah ini melalui Diskusi di Kubecon pada November 2023.

Cluster yang menerapkan izin diotorisasi jaringan memiliki lapisan pertahanan pertama: tidak dapat diserang langsung dari internet. Tapi kami tetap menyarankan menghapus binding ini untuk pertahanan yang mendalam dan untuk menjaga dari kesalahan dalam kontrol jaringan.
Perlu diperhatikan bahwa ada sejumlah kasus ketika binding ke pengguna sistem Kubernetes atau grup digunakan dengan sengaja: misalnya untuk kubeadm bootstrap, Rancher dasbor dan Bitnami rahasia tertutup. Kami telah mengonfirmasi dengan vendor perangkat lunak tersebut bahwa mereka binding berfungsi sebagaimana mestinya.

Kami sedang menyelidiki berbagai cara untuk memberikan perlindungan lebih lanjut terhadap pengguna RBAC kesalahan konfigurasi pengguna/grup sistem ini melalui tindakan pencegahan dan deteksi.

Apa yang harus saya lakukan?

Untuk mencegah binding baru dari cluster-admin ke Pengguna system:anonymous, Grup system:authenticated, atau Grup Pengguna system:unauthenticated dapat mengupgrade ke GKE v1.28 atau nanti (rilis catatan), tempat pembuatan binding tersebut diblokir.

Binding yang ada harus ditinjau mengikuti panduan ini.

Sedang

GKE on VMware

Tidak ada pembaruan saat ini.

GKE on AWS

Tidak ada pembaruan saat ini.

GKE on Azure

Tidak ada pembaruan saat ini.

GKE on Bare Metal

Tidak ada pembaruan saat ini.

GCP-2024-002

Dipublikasikan: 17-01-2024
Diperbarui: 20-02-2024
Referensi: CVE-2023-6111

Update 20-02-2024: Menambahkan versi patch untuk GKE di VMware.

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 20-02-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Update 20-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100


Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-051

Dipublikasikan: 28-12-2023
Referensi: CVE-2023-3609

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-050

Dipublikasikan: 27-12-2023
Referensi: CVE-2023-3389

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-049

Dipublikasikan: 20-12-2023
Referensi: CVE-2023-3090

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Cluster GKE Standard terpengaruh. GKE Cluster Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau izinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-048

Dipublikasikan: 15-12-2023
Diperbarui: 21-12-2023
Referensi: CVE-2023-3390

Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

GKE

Diperbarui: 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-047

Dipublikasikan: 14-12-2023

GKE

Deskripsi Keparahan

Penyerang yang telah menyusupi kontainer {i>logging<i} Fluent Bit dapat menggabungkan akses dengan hak istimewa tinggi yang diperlukan Cloud Service Mesh (pada cluster yang memiliki mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah terkait Fluent Bit dan Cloud Service Mesh telah dimitigasi dan perbaikannya kini tersedia. Kerentanan ini tidak dapat dieksploitasi secara mandiri di GKE dan memerlukan penyusupan awal. Kami tidak mengetahui adanya eksploitasi kerentanan ini.

Masalah ini dilaporkan melalui Vulnerability Reward Program.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Fluent Bit dan bagi pengguna Cloud Service Mesh terkelola. Sebagai keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool ke salah satu versi GKE berikut atau nanti:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda dapat mengamankan {i>node<i} Anda hingga versi baru menjadi {i>default<i} untuk saluran rilis

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Kerentanan apa yang ditangani oleh patch ini?

Kerentanan yang ditangani oleh buletin ini membutuhkan penyerang untuk menyusupi Container logging Fluent Bit. Kami tidak mengetahui adanya kerentanan di Fluent Bit yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah potensi serangan penuh pada masa mendatang

GKE menggunakan Fluent Bit untuk memproses log bagi workload yang berjalan di cluster. Fluent Bit di GKE juga dikonfigurasi untuk mengumpulkan log untuk workload Cloud Run. Pemasangan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Akses Fluent Bit ke token akun layanan Kubernetes untuk Pod lain yang berjalan di {i>node<i}. Peneliti menggunakan akses ini untuk menemukan akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Cloud Service Mesh.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Tujuan peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster

Kami telah menghapus akses Fluent Bit ke token akun layanan dan memiliki mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebih.

Sedang

GKE on VMware

Deskripsi Keparahan

Hanya GKE pada cluster VMware yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Rab tidak menyadari adanya kerentanan yang akan menyebabkan prasyarat kondisi untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai pengerasan langkah-langkah untuk mencegah potensi rantai serangan penuh di masa depan.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna.

Sedang

GKE on AWS

Deskripsi Keparahan

Hanya GKE pada cluster AWS yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus upgrade manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah kemungkinan terjadinya rantai serangan penuh di masa depan.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna.

Sedang

GKE on Azure

Deskripsi Keparahan

Hanya GKE pada cluster Azure yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus upgrade manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini dengan langkah-langkah pengerasan untuk mencegah kemungkinan rantai serangan penuh di masa depan.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna.

Sedang

GKE on Bare Metal

Deskripsi Keparahan

Hanya GKE pada cluster Bare Metal yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah kemungkinan terjadinya rantai serangan penuh di masa depan.

Anthos Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna.

Sedang

GCP-2023-046

Dipublikasikan: 22-11-2023
Diperbarui: 04-03-2024
Referensi: CVE-2023-5717

Update 04-03-2024: Penambahan versi GKE untuk GKE pada VMware.

Update 22-01-2024: Menambahkan versi patch Ubuntu.

GKE

Diperbarui: 22-01-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 22-01-2024: Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 29-02-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Update 04-03-2024: Versi GKE di VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-045

Dipublikasikan: 20-11-2023
Diperbarui: 21-12-2023
Referensi: CVE-2023-5197

Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

GKE

Diperbarui: 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-042

Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023
Referensi: CVE-2023-4147

Update 15-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch terkait untuk GKE.

GKE

Diperbarui: 15-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE tidak terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang di-patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut dalam node Anda. Misalnya, jika menggunakan GKE versi 1.27, Anda harus mengupgradenya ke patch . Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu melakukan upgrade ke versi yang telah di-patch.


Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi berikut atau yang lebih baru:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi yang di-patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-041

Dipublikasikan: 08-11-2023
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Referensi: CVE-2023-4004

Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

Update 05-12-2023: Penambahan versi GKE tambahan untuk node pool OS yang Dioptimalkan untuk Container.

Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar terbaru versi GKE yang dapat Anda update Container-Optimized OS untuk:

  • 1.24.17-gke.200 atau yang lebih baru
  • 1.25.13-gke.200 atau yang lebih baru
  • 1.26.8-gke.200 atau yang lebih baru
  • 1.27.4-gke.2300 atau yang lebih baru
  • 1.28.1-gke.1257000 atau yang lebih baru

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-040

Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4921

Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-039

Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 16-11-2023
Referensi: CVE-2023-4622

Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan di buletin keamanan versi sebelumnya.

GKE

Diperbarui: 21-11-2023, 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Diperbarui: 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Diperbarui: 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Diperbarui: 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Diperbarui: 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-038

Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4623

Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-037

Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4015

Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.27.5-gke.1647000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-035

Dipublikasikan: 26-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tinggi

GCP-2023-033

Dipublikasikan: 24-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-3777

Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.

Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN. Workload GKE Sandbox juga tidak terpengaruh.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

GCP-2023-030

Dipublikasikan: 10-10-2023
Diperbarui: 20-03-2024
Referensi: CVE-2023-44487CVE-2023-39325

Update 20-03-2024: Versi patch tambahan untuk GKE di AWS dan GKE di Azure
Update 14-02-2024: Versi patch tambahan untuk GKE di VMware
Update 09-11-2023: Menambahkan CVE-2023-39325. Versi GKE yang diupdate dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.

GKE

Diperbarui: 09-11-2023

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh.

Apa yang harus saya lakukan?

Update 09-11-2023: Kami telah merilis versi baru GKE yang mencakup patch keamanan Go dan Kubernetes, yang dapat dapat memperbarui cluster Anda sekarang. Dalam beberapa minggu mendatang, kami akan merilis perubahan pada bidang kontrol GKE untuk memitigasi masalah ini lebih lanjut.

Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Sebaiknya terapkan mitigasi berikut sesegera mungkin dan upgrade ke versi terbaru yang di-patch jika tersedia.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang perlu diupgrade ke bidang kontrol, dan juga membuat patch terlihat dalam postur keamanan GKE jika tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, aktifkan notifikasi cluster.

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kurangi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat menambahkan jaringan resmi untuk cluster yang ada. Untuk mempelajari lebih lanjut, izinkan jaringan untuk cluster yang ada.

Selain jaringan resmi yang Anda tambahkan, terdapat alamat IP yang telah ditetapkan sebelumnya yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint bidang kontrol. Item berikut meringkas isolasi cluster:

  • Cluster pribadi dengan cluster berbasis --master-authorized-networks dan PSC dengan konfigurasi --master-authorized-networks dan --no-enable-google-cloud adalah yang paling terisolasi.
  • Cluster publik lama dengan cluster berbasis --master-authorized-networks dan PSC dengan konfigurasi --master-authorized-networks dan --enable-google-cloud (default) juga dapat diakses dengan cara berikut:
    • Alamat IP publik semua VM Compute Engine di Google Cloud
    • Alamat IP Google Cloud Platform

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol GKE.

Tinggi

GKE on VMware

Diperbarui: 14-02-2024

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 14-02-2024: Versi GKE berikut di VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke cluster berikut versi patch atau yang lebih baru:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Jika Anda telah mengonfigurasi GKE pada cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: GKE pada versi AWS berikut telah diupdate dengan patch untuk CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di AWS untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: GKE pada versi Azure berikut telah diupdate dengan patch untuk CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di cluster Azure untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Tinggi

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. Anthos di Bare Metal membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah mengonfigurasi Anthos di cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE pada Bare Metal.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Tinggi

GCP-2023-026

Dipublikasikan: 06-09-2023
Referensi: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Cluster GKE hanya terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami merekomendasikan agar Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

Bidang kontrol GKE akan diperbarui pada minggu 04-09-2023 untuk memperbarui csi-proxy ke versi 1.1.3. Jika Anda memperbarui node sebelum memperbarui bidang kontrol, Anda harus memperbarui {i>node<i} Anda lagi setelah pembaruan untuk memanfaatkan {i>proxy<i}. Anda dapat memperbarui node lagi, bahkan tanpa mengubah versi node, dengan menjalankan perintah gcloud container clusters upgrade dan meneruskan flag --cluster-version dengan versi GKE yang sama dengan node sudah berjalan. Anda harus menggunakan gcloud CLI untuk mendapatkan solusi ini. Perhatikan bahwa tindakan ini akan menyebabkan pembaruan, terlepas dari masa pemeliharaan.

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk konfigurasi saluran rilis.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan tidak lolos operasi ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian {i>string<i} sebagai perintah terpisah. Perintah-perintah ini akan berjalan dengan alamat jaringan istimewa seperti yang dimiliki Kubelet.

Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin akses yang sama dengan agen Kubelet, izin akses istimewa.

Dengan CVE-2023-3893, kurangnya sanitasi input yang sama memungkinkan pengguna yang dapat membuat Pod di Node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Buah membuat peristiwa dengan perintah PowerShell yang tertanam merupakan indikasi kuat eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell yang tertanam dan dipasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi.

Tinggi

GKE on VMware

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Cluster hanya akan terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan tidak lolos operasi ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian {i>string<i} sebagai perintah terpisah. Perintah-perintah ini akan berjalan dengan alamat jaringan istimewa seperti yang dimiliki Kubelet.

Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin akses yang sama dengan agen Kubelet, izin akses istimewa.

Dengan CVE-2023-3893, kurangnya sanitasi input yang sama memungkinkan pengguna yang dapat membuat Pod di Node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Buah membuat peristiwa dengan perintah PowerShell yang tertanam merupakan indikasi kuat eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell yang tertanam dan dipasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi.

Tinggi

GKE on AWS

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-018

Dipublikasikan: 27-06-2023
Referensi: CVE-2023-2235

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster Autopilot GKE terpengaruh karena node GKE Autopilot selalu menggunakan image node OS yang Dioptimalkan untuk Container. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node OS yang Dioptimalkan untuk Container akan terpengaruh.

Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum versi 1.25, atau menggunakan GKE Sandbox.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan.

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan.

Tinggi

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-017

Dipublikasikan: 26-06-2023
Diperbarui: 11-07-2023
Referensi: CVE-2023-31436

Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang menambal CVE-2023-31436.

GKE

Diperbarui: 11-07-2023

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 11-07-2023: Versi patch Ubuntu tersedia.

Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru versi yang membuat patch CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Tinggi

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-016

Dipublikasikan: 26-06-2023
Referensi: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GKE

Deskripsi Keparahan

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh (ASM). Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE tidak dikirim dengan ASM dan tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002.

Tidak ada

GKE on VMware

Deskripsi Keparahan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang dalam Cloud Service Mesh di GKE pada VMware, yang memungkinkan penyerang berbahaya menyebabkan {i>denial of service<i} atau {i>error<i} Envoy. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kita ingin memastikan bahwa Pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan terekspos, aktor dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti sertifikat peer SAN.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan besar untuk rute yang memiliki filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus ke memicu kesalahan penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus merupakan internal tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Tinggi

GKE on AWS

Deskripsi Keparahan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di AWS tidak dikirim dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di Azure tidak dikirim dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang untuk menyebabkan {i>denial of service<i} atau membuat {i>error<i} Envoy. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kita ingin memastikan bahwa Pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade admin dan cluster pengguna Anda untuk salah satu GKE berikut pada versi Bare Metal:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan terekspos, aktor dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti sertifikat peer SAN.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan besar untuk rute yang memiliki filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus ke memicu kesalahan penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus merupakan internal tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Tinggi

GCP-2023-015

Dipublikasikan: 20-06-2023
Referensi: CVE-2023-0468

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Pada CVE-2023-0468, cacat use-after-free ditemukan di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Cacat ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi menyebabkan error sistem yang menyebabkan denial of service.

Sedang

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}.

GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan tindakan apa pun
Tidak ada

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan tindakan apa pun
Tidak ada

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}.

GKE di Azure tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan tindakan apa pun
Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan tindakan apa pun
Tidak ada

GCP-2023-014

Dipublikasikan: 15-06-2023
Diperbarui: 11-08-2023
Referensi: CVE-2023-2727, CVE-2023-2728

Update 11-08-2023: Penambahan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan GKE pada Bare Metal

GKE

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728).

GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi GKE berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container ephemeral.
Sedang

GKE on VMware

Diperbarui: 11-08-2023

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan pengguna Anda ke salah satu versi GKE pada VMware berikut:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container ephemeral.
Sedang

GKE on AWS

Diperbarui: 11-08-2023

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728)
Anthos di AWS tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di AWS berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE berikut di versi AWS:

  • 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container ephemeral.
Sedang

GKE on Azure

Diperbarui: 11-08-2023

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728)
Anthos di Azure tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di Azure berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE berikut di Azure:

  • 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container ephemeral.
Sedang

GKE on Bare Metal

Diperbarui: 11-08-2023

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728)
Anthos di Bare Metal tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di Bare Metal berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container ephemeral.
Sedang

GCP-2023-009

Dipublikasikan: 06-06-2023
Referensi: CVE-2023-2878

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meski GKE tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di VMware tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE pada VMware tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE di AWS tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di Azure tidak terpengaruh oleh CVE ini

Apa yang harus saya lakukan?

Meskipun GKE di Azure tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE pada Bare Metal tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GCP-2023-008

Dipublikasikan: 05-06-2023
Referensi: CVE-2023-1872

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

  • 1.15.1
  • Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    Apa yang harus saya lakukan?

    Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

  • 1.15.1
  • Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2023-005

    Dipublikasikan: 18-05-2023
    Diperbarui: 06-06-2023
    Referensi: CVE-2023-1281, CVE-2023-1829

    Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829.

    GKE

    Diperbarui: 06-06-2023

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard terpengaruh.

    cluster dan cluster Autopilot GKE menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Update 06-06-2023: Versi patch Ubuntu tersedia.

    Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

    Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

    Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

    Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

    Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2023-003

    Dipublikasikan: 11-04-2023
    Diperbarui: 21-12-2023
    Referensi: CVE-2023-0240, CVE-2023-23586

    Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

    GKE

    Diperbarui: 21-12-2023

    Deskripsi Keparahan

    Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. Cluster GKE, termasuk cluster Autopilot, dengan COS menggunakan Kernel Linux versi 5.10 hingga 5.10.162 akan terpengaruh. Cluster GKE menggunakan Image Ubuntu atau penggunaan GKE Sandbox tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami sebaiknya upgrade kumpulan node secara manual ke salah satu opsi berikut Versi GKE:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Kerentanan 1 (CVE-2023-0240): Kondisi race di io_uring dapat menyebabkan container penuh yang terbagi ke root pada node. Kernel Linux versi 5.10 akan terpengaruh sampai 5.10.162.

    Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di io_uring/time_ns dapat yang mengarah ke kontainer lengkap yang keluar ke {i>root <i}pada {i>node<i}. Kernel Linux versi 5.10 adalah terdampak hingga 10/5/162.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE pada cluster VMware dengan COS menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terdampak. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan tersebut:

    • 1.12.6
    • 1.13.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Kerentanan 1 (CVE-2023-0240): Kondisi race di io_uring dapat menyebabkan container akan dibagi ke root pada node. Kernel Linux versi 5.10 akan terpengaruh sampai 5.10.162.

    Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di io_uring/time_ns dapat menyebabkan container penuh yang terbagi ke root pada node. Kernel Linux versi 5.10 akan terpengaruh sampai 5.10.162.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE di Azure tidak terpengaruh oleh CVE ini

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2023-001

    Dipublikasikan: 01-03-2023
    Diperbarui: 21-12-2023
    Referensi: CVE-2022-4696

    Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

    GKE

    Deskripsi Keparahan

    Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

    Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. Cluster GKE, yang meliputi Cluster Autopilot, terdampak. Cluster GKE menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami sebaiknya Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di {i>kernel<i} Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE pada VMware yang menjalankan v1.12 dan v1.13 akan terpengaruh. GKE pada VMware yang menjalankan v1.14 atau yang lebih baru tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:

    • 1.12.5
    • 1.13.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di {i>kernel<i} Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE di Azure tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GCP-2022-026

    Dipublikasikan: 11-01-2023
    Referensi: CVE-2022-3786, CVE-2022-3602

    GKE

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}. Meskipun mendapatkan rating Tinggi di NVD endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga rating telah dikurangi menjadi Medium untuk GKE.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Fitur terbaru dari rilis channel memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk merilis saluran tertentu.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3786 dan CVE-2022-3602, buffer overrun dapat dipicu di sertifikat X.509 verifikasi yang dapat menyebabkan {i>crash<i} yang akan mengakibatkan penolakan layanan. Untuk menjadi dieksploitasi, kerentanan ini membutuhkan CA untuk menandatangani sertifikat berbahaya atau agar aplikasi melanjutkan verifikasi sertifikat meskipun terjadi kegagalan dalam membangun jalur ke penerbit tepercaya.

    Sedang

    GKE on VMware

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}.

    Apa yang harus saya lakukan?

    GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on AWS

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}.

    Apa yang harus saya lakukan?

    GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}.

    Apa yang harus saya lakukan?

    GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}.

    Apa yang harus saya lakukan?

    GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2022-025

    Dipublikasikan: 21-12-2022
    Diperbarui: 19-01-2023, 21-12-2023
    Referensi: CVE-2022-2602

    Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

    Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.

    GKE

    Diperbarui: 19-01-2023

    Deskripsi Keparahan

    Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, juga terdampak.

    Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.


    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda memiliki node mengaktifkan upgrade otomatis, sebaiknya Anda upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

    • OS yang Dioptimalkan untuk Container:
      • 1.22.16-gke.1300 dan yang lebih baru
      • 1.23.14-gke.401 dan yang lebih baru
      • 1.24.7-gke.900 dan yang lebih baru
      • 1.25.4-gke.1600 dan yang lebih baru
    • Ubuntu:
      • 1.22.15-gke.2500 dan yang lebih baru
      • 1.23.13-gke.900 dan yang lebih baru
      • 1.24.7-gke.900 dan yang lebih baru
      • 1.25.3-gke.800 dan yang lebih baru

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer.

    Versi 1.11, 1.12, dan 1.13 GKE di VMware terpengaruh.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. Versi berikut dari GKE pada VMware berisi kode yang memperbaiki kerentanan ini:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer.

    Apa yang harus saya lakukan?

    GKE versi saat ini dan generasi sebelumnya di AWS telah memperbarui dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi AWS berikut:

    • Generasi saat ini:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Generasi sebelumnya:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer.

    Apa yang harus saya lakukan?

    Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer.

    GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak dipaketkan sistem operasi dalam distribusinya.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2022-024

    Dipublikasikan: 09-11-2022
    Diperbarui: 19-01-2023
    Referensi: CVE-2022-2585, CVE-2022-2588

    Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
    Update 16-12-2022: Menambahkan versi patch yang direvisi untuk GKE dan GKE di VMware.

    GKE

    Diperbarui: 19-01-2023

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Cluster GKE, termasuk cluster Autopilot, juga terdampak.

    Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

    Update 16-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Memohon upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

    • 1.22.16-gke.1300 dan yang lebih baru
    • 1.23.14-gke.401 dan yang lebih baru
    • 1.24.7-gke.900 dan yang lebih baru
    • 1.25.4-gke.1600 dan yang lebih baru

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebagai keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda secara manual upgrade kumpulan node Anda ke salah satu versi GKE berikut:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia.

    Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    • Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.
    • Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.
    Tinggi

    GKE on VMware

    Diperbarui: 16-12-2022

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

    Versi 1.13, 1.12, dan 1.11 dari GKE di VMware terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 16-12-2022: Versi berikut dari GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Saran dari kami Anda mengupgrade cluster admin dan pengguna ke salah satu dari GKE pada versi VMware:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Catatan: Versi GKE di VMware yang berisi patch OS yang Dioptimalkan untuk Container akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    • Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.
    • Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.
    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

    Versi Kubernetes berikut di AWS mungkin terpengaruh:

    • 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh
    • 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak akan terpengaruh

    Kubernetes V1.24 tidak terpengaruh.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:

    • 1.23: versi yang lebih baru dari v1.23.9-gke.800
    • 1.22: versi yang lebih baru dari 1.22.12-gke-1100

    Kerentanan apa yang sedang ditangani?

    Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.

    Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

    Versi Kubernetes berikut di Azure mungkin terpengaruh:

    • 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh.
    • 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak akan terpengaruh.

    Kubernetes V1.24 tidak terpengaruh.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:

    • 1.23: versi yang lebih baru dari v1.23.9-gke.800
    • 1.22: versi yang lebih baru dari 1.22.12-gke-1100

    Kerentanan apa yang sedang ditangani?

    Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.

    Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

    GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2022-023

    Dipublikasikan: 04-11-2022
    Referensi: CVE-2022-39278

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol.

    Apa yang harus saya lakukan?

    Google Kubernetes Engine (GKE) tidak dijual dengan Istio dan tidak terpengaruh oleh kerentanan. Namun, jika Anda telah menginstal Cloud Service Mesh atau Istio secara terpisah pada cluster GKE, lihat GCP-2022-020, buletin keamanan Cloud Service Mesh tentang CVE ini, untuk informasi selengkapnya.

    Tidak ada

    GKE on VMware

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh di GKE pada VMware, yang memungkinkan penyerang berbahaya membuat error Bidang kontrol Istio.

    Apa yang harus saya lakukan?

    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, menjadi rentan terhadap kesalahan pemrosesan permintaan, yang memungkinkan penyerang berbahaya mengirim pesan yang dibuat khusus yang mengakibatkan bidang kontrol mengalami error saat yang memvalidasi webhook untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui TLS {i>port<i} 15017, tetapi tidak memerlukan otentikasi apa pun dari penyerang.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol.

    Apa yang harus saya lakukan?

    GKE di AWS tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol.

    Apa yang harus saya lakukan?

    GKE di Azure tidak terpengaruh oleh kerentanan ini dan tidak ada tindakan yang tidak diperlukan.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh pada GKE pada Bare Metal, yang memungkinkan penyerang berbahaya untuk menabrak bidang kontrol Istio.

    Apa yang harus saya lakukan?

    Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade cluster ke salah satu berikut GKE pada versi Bare Metal:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, menjadi rentan terhadap kesalahan pemrosesan permintaan, yang memungkinkan penyerang berbahaya mengirim pesan yang dibuat khusus yang mengakibatkan bidang kontrol mengalami error saat yang memvalidasi webhook untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui TLS {i>port<i} 15017, tetapi tidak memerlukan otentikasi apa pun dari penyerang.

    Tinggi

    GCP-2022-022-updated

    Dipublikasikan: 08-12-2022
    Referensi: CVE-2022-20409

    GKE

    Diperbarui: 14-12-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24 cluster, termasuk cluster Autopilot, menggunakan Container-Optimized OS versi 93 dan 97 akan terdampak. Lainnya yang didukung Versi GKE tidak terpengaruh. Cluster GKE menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Update 14-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Memohon upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

    • 1.22.15-gke.2500 dan yang lebih baru
    • 1.23.13-gke.900 dan yang lebih baru
    • 1.24.7-gke.900 dan yang lebih baru

    Versi GKE berikut yang menggunakan versi Container-Optimized OS 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

    • 1.22.15-gke.2300 dan yang lebih baru
    • 1.23.13-gke.700 dan yang lebih baru
    • 1.24.7-gke.700 dan yang lebih baru

    Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis saluran TV Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tinggi

    GKE on VMware

    Diperbarui: 14-12-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal.

    Apa yang harus saya lakukan?

    Pembaruan 14-12-2022: Versi berikut dari GKE di VMware untuk Ubuntu telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di VMware berikut versi:

    • 1.13.1 dan yang lebih baru
    • 1.12.3 dan yang lebih baru
    • 1.11.4 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi {i>kernel<i} Linux.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi yang terpengaruh dari {i>kernel<i} Linux.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal.

    Apa yang harus saya lakukan?

    • Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh oleh perubahan ini CVE karena tidak memaketkan sistem operasi dalam distribusinya.
    Tidak ada

    GCP-2022-021

    Dipublikasikan: 27-10-2022
    Diperbarui: 19-01-2023, 21-12-2023
    Referensi: CVE-2022-3176

    Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

    Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
    Pembaruan 15-12-2022: Memperbarui informasi tentang versi 1.21.14-gke.9400 Google Kubernetes Engine menunggu peluncuran dan mungkin digantikan oleh nomor versi yang lebih tinggi.
    Update 21-11-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 19-01-2023, 21-12-2023

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk container penuh ke root pada node.

    Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

    Cluster Google Kubernetes Engine (GKE) v1.21, termasuk cluster Autopilot, menggunakan Container-Optimized OS versi 89 akan terpengaruh. GKE versi terbaru tidak terpengaruh. Semua cluster Linux dengan Ubuntu akan terpengaruh. Cluster GKE menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

    Update 15-12-2022: Versi 1.21.14-gke.9400 menunggu peluncuran dan mungkin akan digantikan oleh nomor versi yang lebih tinggi. Kami akan memperbarui dokumen ini saat versi baru tersebut yang tersedia.


    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda memiliki node mengaktifkan upgrade otomatis, sebaiknya Anda upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

    • OS yang Dioptimalkan untuk Container:
      • 1.21.14-gke.7100 dan yang lebih baru
    • Ubuntu:
      • 1.21.14-gke.9400 dan yang lebih baru
      • 1.22.15-gke.2400 dan yang lebih baru
      • 1.23.13-gke.800 dan yang lebih baru
      • 1.24.7-gke.800 dan yang lebih baru
      • 1.25.3-gke.700 dan yang lebih baru

    Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis saluran TV Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses resmi.

    Tinggi

    GKE on VMware

    Diperbarui: 21-11-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk container penuh ke root pada node.

    Apa yang harus saya lakukan?

    • Versi GKE di VMware dengan Container-Optimized OS tidak akan terpengaruh.

    Pembaruan 21-11-2022: Versi berikut dari GKE di VMware untuk Ubuntu telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:

    • 1.12.3 dan yang lebih baru
    • 1.13.1 dan yang lebih baru
    • 1.11.5 dan yang lebih baru

    Versi GKE pada VMware yang berisi patch Ubuntu akan dirilis segera. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses resmi.

    Tinggi

    GKE on AWS

    Diperbarui: 21-11-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk untuk mencapai perincian container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Update 21-11-2022: GKE versi saat ini dan generasi sebelumnya di AWS telah memperbarui dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS:

    Generasi saat ini
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Generasi sebelumnya
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Versi GKE di AWS yang berisi patch Ubuntu akan dirilis segera. Buletin keamanan ini akan diperbarui saat GKE pada versi AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses resmi.

    Tinggi

    GKE on Azure

    Diperbarui: 21-11-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk untuk mencapai perincian container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Update 21-11-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Versi GKE di Azure yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses resmi.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggabungkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-018

    Dipublikasikan: 01-08-2022
    Diperbarui: 14-09-2022, 21-12-2023
    Referensi: CVE-2022-2327

    Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.

    Update 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 21-12-2023

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di Kernel Linux yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node.

    Detail teknis

    Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

    Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS (COS) menggunakan Linux Kernel versi 5.10 akan terpengaruh. Cluster GKE menggunakan image Ubuntu atau menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Upgrade cluster GKE Anda ke versi yang menyertakan perbaikan. Image node Linux untuk COS telah diupdate bersama dengan GKE menggunakan versi COS tersebut.

    Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda secara manual mengupgrade kumpulan node Anda ke salah satu layanan GKE versi:

    Versi COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Fitur terbaru rilis saluran memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari sebuah saluran. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, {i>kernel<i} Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan jenis item tidak ada (flag). Menggunakan permintaan ini tanpa jenis item yang ditentukan dapat menyebabkan eskalasi akses ke root.
    Tinggi

    GKE on VMware

    Diperbarui: 14-09-2022

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di Linux {i>kernel<i} yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node.

    Cluster dengan image Container Optimized OS (COS) menggunakan GKE pada versi VMware 1.10, 1.11, dan 1.12 akan terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 14-09-2022: Versi berikut dari GKE pada VMware berisi kode yang memperbaiki kerentanan ini.

    • 1.10.6 atau yang lebih baru
    • 1.11.3 atau yang lebih baru
    • 1.12.1 atau yang lebih baru

    Versi GKE di VMware yang berisi patch akan dirilis segera. Buletin keamanan ini akan diperbarui saat GKE pada VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, {i>kernel<i} Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan jenis item tidak ada (flag). Menggunakan permintaan ini tanpa jenis item yang ditentukan dapat menyebabkan eskalasi akses ke root.

    Tinggi

    GKE on AWS

    Diperbarui: 14-09-2022

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di Linux {i>kernel<i} yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Pembaruan 14-09-2022: Pembaruan saat ini dan GKE pada AWS versi generasi sebelumnya telah memperbarui dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade node Anda ke salah satu GKE berikut di AWS versi:

    Generasi saat ini

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Generasi sebelumnya

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, {i>kernel<i} Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan jenis item tidak ada (flag). Menggunakan permintaan ini tanpa jenis item yang ditentukan dapat menyebabkan eskalasi akses ke root.

    Tinggi

    GKE on Azure

    Diperbarui: 14-09-2022

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di Linux {i>kernel<i} yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Pembaruan 14-09-2022: Versi berikut dari GKE di Azure telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, {i>kernel<i} Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan jenis item tidak ada (flag). Menggunakan permintaan ini tanpa jenis item yang ditentukan dapat menyebabkan eskalasi akses ke root.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di Linux {i>kernel<i} yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusi.

    Tidak ada

    GCP-2022-017

    Dipublikasikan: 29-06-2022
    Diperbarui: 22-11-2022
    Referensi: CVE-2022-1786
    Update 22-11-2022: Informasi terbaru tentang workload menggunakan GKE Sandbox.
    Update 21-07-2022: Memperbarui informasi tentang image GKE COS VMware terdampak.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keparahan

    Pembaruan 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Hanya cluster yang menjalankan Container-Optimized OS akan terpengaruh. Versi GKE Ubuntu menggunakan versi 5.4 atau 5.15 dari kernel dan tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk Container-Optimized OS untuk GKE telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebagai untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade node secara manual gabungan ke salah satu versi GKE mendatang berikut ini:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Fitur saluran rilis terbaru memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari sebuah saluran. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut akan menjadi default di saluran rilis yang Anda pilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-1786, cacat use-after-free ditemukan pada io_uring kernel Linux subsistem. Jika pengguna menyiapkan lingkaran dengan IORING_SETUP_IOPOLL dengan lebih dari satu tugas menyelesaikan pengiriman pada ring, pengguna lokal dapat mengalami error atau mengeskalasikan hak istimewa mereka pada sistem.

    Tinggi

    GKE on VMware

    Diperbarui: 14-07-2022

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Update 21-07-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

    COS
    • 1.10.5 atau yang lebih baru
    • 1.11.2 atau yang lebih baru
    • 1.12.0 atau yang lebih baru

    Ubuntu

    Anda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggabungkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-016

    Dipublikasikan: 23-06-2022
    Diperbarui: 22-11-2022
    Referensi: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    Update 22-11-2022: Menambahkan informasi tentang workload yang berjalan di cluster Autopilot.
    Update 29-07-2022: Versi terbaru untuk GKE pada VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keparahan

    Pembaruan 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116.


    Pembaruan 29-07-2022: Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini.


    Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Semua cluster Linux (OS yang Dioptimalkan untuk Container dan Ubuntu) akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk Container-Optimized OS dan Ubuntu untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root.

    Tinggi

    GKE on VMware

    Diperbarui: 29-07-2022

    Deskripsi Keparahan

    Pembaruan 29-07-2022: Versi berikut dari GKE pada VMware berisi kode yang memperbaiki kerentanan ini.

    • 1.9.7 atau yang lebih baru
    • 1.10.5 atau yang lebih baru
    • 1.11.2 atau yang lebih baru
    • 1.12.0 atau yang lebih baru


    Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi GKE pada VMware v1.9 dan yang lebih baru untuk image Container-Optimized OS dan Ubuntu.

    Apa yang harus saya lakukan?

    Versi GKE pada VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root.

    Tinggi

    GKE on AWS

    Diperbarui: 29-07-2022

    Deskripsi Keparahan

    Update 29-07-2022: Update: GKE versi saat ini dan sebelumnya di AWS telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Rab sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi AWS:

    Generasi saat ini:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Generasi sebelumnya:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi semua versi GKE di AWS.

    Apa yang harus saya lakukan?

    Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di versi AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Update 29-07-2022: Update: Versi GKE berikut di Azure telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Rab sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi semua versi GKE di Azure.

    Apa yang harus saya lakukan?

    Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-014

    Dipublikasikan: 26-04-2022
    Diperbarui: 22-11-2022
    Update 22-11-2022: Menambahkan informasi tentang workload yang berjalan di cluster Autopilot.
    Update 12-05-2022: Versi patch yang diupdate untuk GKE pada AWS dan GKE di Azure.
    Referensi: CVE-2022-1055, CVE-2022-27666

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keparahan

    Pembaruan 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE mendatang berikut:

    • 1.19.16-gke.11000 dan yang lebih baru
    • 1.20.15-gke.5200 dan yang lebih baru
    • 1.21.11-gke.1100 dan yang lebih baru
    • 1.22.8-gke.200 dan yang lebih baru
    • 1.23.5-gke.1500 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. GKE pada versi VMware berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • 1.9.6 (akan datang)
    • 1.10.3
    • 1.11.0 (akan datang)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on AWS

    Diperbarui: 12-05-2022

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: GKE versi saat ini dan generasi sebelumnya di AWS telah memperbarui kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS:

    Generasi saat ini
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generasi sebelumnya
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on Azure

    Diperbarui: 12-05-2022

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan tersebut. Sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-1055 dan CVE-2022-27666.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GCP-2022-013

    Dipublikasikan: 11-04-2022
    Diperbarui: 20-04-2022
    Referensi: CVE-2022-23648
    Update 22-04-2022: Versi patch yang diupdate untuk Google Distributed Cloud Virtual untuk Bare Metal dan GKE di VMware.

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

    Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu) yang menggunakan container secara default. Semua node GKE, Autopilot, dan GKE Sandbox akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual node Anda ke salah satu versi GKE berikut:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu.

    Sedang

    GKE on VMware

    Diperbarui: 22-04-2022

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

    Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua GKE di VMware yang mengaktifkan stackdriver, yang menggunakan containerd. GKE pada VMware versi 1.8, 1.9, dan 1.10 terpengaruh

    Apa yang harus saya lakukan?

    Update 22-04-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

    • 1.9.5 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:

    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru

    CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

    Sedang

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

    Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE pada versi AWS terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS.

    GKE di AWS (generasi saat ini)
    • Versi 1.22: 1.22.8-gke.200
    • Versi 1.21: 1.21.11-gke.100
    GKE di AWS (generasi sebelumnya)
    • Versi 1.22: 1.22.8-gke.300
    • Versi 1.21: 1.21.11-gke.100
    • Versi 1.20: 1.20.15-gke.2200

    CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

    Sedang

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

    Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE di versi Azure terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda sebagai berikut:

    • Versi 1.22: 1.22.8-gke.200
    • Versi 1.21: 1.21.11-gke.100

    CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

    Sedang

    Google Distributed Cloud Virtual untuk Bare Metal

    Diperbarui: 22-04-2022

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host.

    Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua Google Distributed Cloud Virtual for Bare Metal yang menggunakan container. Google Distributed Cloud Virtual untuk Bare Metal versi 1.8, 1.9, dan 1.10 akan terpengaruh

    Apa yang harus saya lakukan?

    Update 22-04-2022: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut berisi kode yang memperbaiki kerentanan ini.

    • 1.8.9 atau yang lebih baru
    • 1.9.6 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:

    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru

    CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

    Sedang

    GCP-2022-012

    Dipublikasikan: 07-04-2022
    Diperbarui: 22-11-2022
    Referensi: CVE-2022-0847
    Update 22-11-2022: Informasi terbaru tentang workload menggunakan GKE Sandbox.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keparahan

    Pembaruan 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa container ke root. Kerentanan ini memengaruhi semua node pool GKE versi v1.22 dan yang lebih baru yang menggunakan image OS yang Dioptimalkan untuk Container (Container-Optimized OS 93 dan yang lebih baru). Kumpulan node GKE yang menggunakan OS Ubuntu tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node ke salah satu versi GKE berikut:

    • 1.22.7-gke.1500 dan yang lebih baru
    • 1.23.4-gke.1600 dan yang lebih baru

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan versi patch dari saluran rilis lainnya tanpa harus berhenti berlangganan dari sebuah saluran. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, "flag" anggota struktur buffer pipa baru tidak memiliki inisialisasi yang tepat pada kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka.

    Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke GKE versi node pool yang telah diupdate.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi GKE di VMware v1.10 untuk image OS yang Dioptimalkan untuk Container. Saat ini, GKE di VMware dengan Ubuntu menggunakan kernel versi 5.4 dan tidak rentan terhadap serangan ini.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke versi GKE pada VMware berikut:

    • 1.10.3

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, "flag" anggota struktur buffer pipa baru tidak memiliki inisialisasi yang tepat pada kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka.

    Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi terbaru GKE di VMware.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root.

    Kerentanan ini memengaruhi cluster GKE terkelola pada AWS v1.21 dan cluster yang berjalan di GKE pada AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini.

    Untuk GKE terkelola di AWS, sebaiknya Anda mengupgrade cluster pengguna dan node pool ke salah satu versi berikut:

    • 1.21.11-gke.100

    Untuk GKE k-lite di AWS, sebaiknya upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool ke versi berikut:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, "flag" anggota struktur buffer pipa baru tidak memiliki inisialisasi yang tepat pada kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster GKE terkelola di Azure v1.21 yang menggunakan Ubuntu.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade cluster pengguna dan node pool ke versi berikut:

    • 1.21.11-gke.100

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, "flag" anggota struktur buffer pipa baru tidak memiliki inisialisasi yang tepat pada kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-0847.

    Tinggi

    GCP-2022-011

    Dipublikasikan: 22-03-2022
    Diperbarui: 11-08-2022

    Update 11-08-2022: Menambahkan detail lebih lanjut tentang efek kesalahan konfigurasi SMT.

    GKE

    Deskripsi Keparahan

    Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang Konfigurasi Simultaneous Multi-Threading (SMT). SMT dimaksudkan untuk dinonaktifkan, namun diaktifkan pada versi yang tercantum.

    Jika Anda secara manual mengaktifkan SMT untuk kumpulan node dalam sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini.


    Ada kesalahan konfigurasi dengan Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Kesalahan konfigurasi membuat node berpotensi terekspos ke serangan side channel seperti Microarchitectural Data Sampling (MDS) (untuk konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Jika Anda mengaktifkan SMT untuk kumpulan node secara manual, masalah ini tidak akan memengaruhi node yang di-sandbox.

    Apa yang harus saya lakukan?

    Upgrade node Anda ke salah satu versi berikut:

    • 1.22.6-gke.1500 dan yang lebih baru
    • 1.23.3-gke.1100 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Node GKE Sandbox menonaktifkan SMT secara default, sehingga memitigasi serangan side-channel.

    Sedang

    GCP-2022-009

    Dipublikasikan: 01-03-2022
    Diperbarui: 15-03-2022

    GKE

    Deskripsi Keparahan

    Update 15-03-2022: Penambahan panduan hardening untuk GKE pada AWS dan GKE di Azure. Menambahkan bagian tentang persistensi menggunakan webhook.


    Beberapa jalur tak terduga untuk mengakses VM node pada cluster Autopilot GKE dapat digunakan untuk mengeskalasikan hak istimewa di cluster. Masalah ini telah diperbaiki dan tidak perlu tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami.

    Pengguna cluster GKE Standard dan GKE dapat secara opsional menerapkan kebijakan hardening yang serupa seperti yang dijelaskan di bawah ini.

    Detail teknis

    Akses host menggunakan pengecualian kebijakan pihak ketiga

    Agar Google Cloud dapat menawarkan pengelolaan node secara penuh, dan SLA level Pod, GKE Autopilot membatasi beberapa primitif Kubernetes dengan hak istimewa tinggi untuk membatasi workload agar tidak memiliki akses level rendah ke VM node. Untuk menetapkan hal ini dalam konteks: GKE Standard memberikan akses penuh ke komputasi yang mendasarinya, Autopilot memberikan akses terbatas, dan Cloud Run tidak memberikan akses.

    Autopilot memberikan sedikit batasan terkait daftar alat pihak ketiga yang telah ditetapkan untuk memungkinkan pelanggan menjalankan alat tersebut dengan Autopilot tanpa modifikasi. Dengan menggunakan hak istimewa untuk membuat pod dengan penyangga jalur host, peneliti dapat menjalankan container dengan hak istimewa di pod yang terlihat seperti salah satu alat pihak ketiga yang telah masuk daftar yang diizinkan ini untuk mendapatkan akses ke host.

    Kemampuan untuk menjadwalkan pod dengan cara ini diharapkan ada di GKE Standard, tetapi tidak pada GKE Autopilot, karena cara ini mengabaikan pembatasan akses host yang digunakan untuk mengaktifkan SLA yang dijelaskan sebelumnya.

    Masalah ini telah diperbaiki dengan memperketat spesifikasi pod listingan yang diizinkan pihak ketiga.

    Eskalasi akses dari root-di-node

    Selain akses host, pod stackdriver-metadata-agent-cluster-level dan metrics-server diidentifikasi sebagai hak istimewa tinggi. Setelah mendapatkan akses level root ke node, layanan ini dapat digunakan untuk mendapatkan kontrol lebih lanjut atas cluster tersebut.

    Kami telah menghentikan penggunaan dan menghapus stackdriver-metadata-agent untuk GKE Standard dan Autopilot. Komponen ini masih digunakan di GKE pada VMware dan Google Distributed Cloud Virtual untuk Bare Metal.

    Sebagai tindakan hardening sistem untuk mencegah jenis serangan ini di masa mendatang, kami akan menerapkan batasan Autopilot dalam rilis mendatang yang mencegah update pada akun layanan berbagai objek di namespace kube-system. Kami mengembangkan kebijakan Gatekeeper agar Anda dapat menerapkan perlindungan serupa ke cluster GKE Standard dan cluster GKE untuk mencegah modifikasi mandiri workload dengan hak istimewa. Kebijakan ini diterapkan secara otomatis untuk cluster Autopilot. Untuk petunjuk, lihat panduan hardening berikut:


    Penambahan 15-03-2022: Persistensi menggunakan webhook bermutasi

    Webhook yang bermutasi digunakan dalam laporan ini untuk mendapatkan hak istimewa di cluster pasca-penyusupan. Bagian ini adalah bagian standar dari Kubernetes API yang dibuat oleh admin cluster, dan terlihat oleh administrator saat Autopilot menambahkan dukungan untuk webhook yang ditentukan pelanggan.


    Akun layanan dengan hak istimewa di namespace default

    Penegak kebijakan Autopilot sebelumnya telah mengizinkan dua akun layanan di namespace default: csi-attacher dan otelsvc untuk memberikan hak istimewa khusus pada akun layanan tersebut. Penyerang dengan hak istimewa tinggi, termasuk izin untuk membuat objek ClusterRoleBinding dan akses untuk membuat pod di namespace default, dapat menggunakan nama akun layanan ini untuk mengakses hak istimewa tambahan tersebut. Layanan ini dipindahkan ke namespace kube-system untuk mendapatkan perlindungan kebijakan Autopilot yang ada. Cluster GKE Standard dan cluster GKE tidak terpengaruh.

    Apa yang harus saya lakukan?

    Kebijakan pada semua cluster Autopilot GKE telah diperbarui untuk menghapus akses host yang tidak diinginkan dan Anda tidak perlu melakukan tindakan lebih lanjut.

    Hardening kebijakan lebih lanjut akan diterapkan pada Autopilot dalam beberapa minggu mendatang sebagai perlindungan sekunder. Anda tidak perlu melakukan tindakan apa pun.

    Cluster GKE Standard dan cluster GKE tidak terpengaruh karena pengguna sudah memiliki akses ke host. Sebagai tindakan hardening sistem, cluster GKE Standard dan pengguna cluster GKE dapat menerapkan perlindungan serupa dengan kebijakan Gatekeeper yang mencegah modifikasi mandiri workload dengan hak istimewa. Untuk petunjuk, lihat panduan hardening berikut:

    Rendah

    GCP-2022-008

    Dipublikasikan: 23-02-2022
    Diperbarui: 28-04-2022
    Referensi: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    Deskripsi Keparahan
    Project Envoy baru-baru ini menemukan serangkaian kerentanan, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, dan CVE-2022-21656 yang dapat memengaruhi cluster GKE menggunakan Anthos Service Mesh, Istio-on-GKE, atau deployment Istio kustom.
    Semua masalah yang tercantum di bawah telah diperbaiki dalam rilis Envoy 1.21.1.
    Latar Belakang Teknis
    Detail tambahan untuk kerentanan ini tersedia di sini.

    Apa yang harus saya lakukan?

    Cluster GKE yang menjalankan Anthos Service Mesh harus diupgrade ke versi yang didukung dengan perbaikan untuk kerentanan di atas
    • Jika Anda menggunakan Anthos Service Mesh 1.12, upgrade ke v1.12.4-asm.0.
    • Jika Anda menggunakan Anthos Service Mesh 1.11, upgrade ke v1.11.7-asm.1.
    • Jika Anda menggunakan Anthos Service Mesh 1.10, upgrade ke v1.10.6-asm.1.
    Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda seharusnya upgrade ke ASM 1.10 atau yang lebih baru.

    Cluster GKE yang menjalankan Istio-on-GKE harus diupgrade ke versi yang didukung versi dengan perbaikan pada kerentanan di atas
    • Jika Anda menggunakan Istio-on-GKE 1.6, upgrade ke v1.6.14-gke.8.
    • Jika Anda menggunakan Istio-on-GKE 1.4.11, upgrade ke v1.4.11-gke.4.
    • Jika Anda menggunakan Istio-on-GKE 1.4.10, upgrade ke v1.4.10-gke.23.
    • Jika Anda menggunakan GKE 1.22 atau yang lebih tinggi, gunakan Istio GKE 1.4.10. Jika tidak, gunakan Istio-on-GKE 1.4.11.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, dan CVE-2022-21656
    Tinggi

    GKE on VMware

    Diperbarui: 28-04-2022

    Deskripsi Keparahan
    Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. GKE di VMware merupakan terkena dampak karena Envoy digunakan dengan metrik server. Tujuan CVE yang akan kami perbaiki tercantum di bawah. Kami akan memperbaruinya buletin dengan versi tertentu bila tersedia:
    • CVE-2021-43824 (skor CVSS 6,5, Sedang): Potensi pembatalan referensi pointer null saat menggunakan filter JWT safe_regex yang cocok.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan ekspresi reguler filter JWT.
    • CVE-2021-43825 (skor CVSS 6,1, Sedang): Gunakan setelah gratis saat filter respons meningkatkan data respons data melebihi batas buffer downstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan dekompresi filter.
    • CVE-2021-43826 (skor CVSS 6,1, Sedang): Use-after-free saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembentukan koneksi upstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter tunneling.
    • CVE-2022-21654 (skor CVSS 7,3, Tinggi): Salah penanganan konfigurasi memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah pengaturan validasi diubah.
      Catatan: Semua ASM/Istio-on-GKE layanan yang menggunakan mTLS terpengaruh oleh CVE ini.
    • CVE-2022-21655 (skor CVSS 7,5, Tinggi): Salah penanganan pengalihan internal ke rute dengan respons langsung entri.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda bisa terpengaruh jika Anda menggunakan filter respons langsung.
    • CVE-2022-23606 (skor CVSS 4,4, Sedang): Stack kelelahan saat cluster dihapus melalui Penemuan Cluster Layanan.
      Catatan: ASM 1.11+ terpengaruh oleh CVE ini. ASM 1.10 dan Semua Istio-on-GKE tidak terpengaruh oleh CVE ini.
    • CVE-2022-21657 (Skor CVSS 3,1, Rendah): Envoy hingga 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena X.509 Pengabaian Penggunaan Kunci yang Diperpanjang dan Tujuan Kepercayaan.
    • CVE-2022-21656 (Skor CVSS 3,1, Rendah): Envoy hingga 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena X.509 pengabaian pencocokan subjekAltName (dan nameConstraints).

    Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos aktif VMware terkena dampak karena Istio digunakan untuk traffic masuk. CVE Istio yang sedang kami perbaiki tercantum di bawah ini. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia:

    CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod error saat menerima permintaan dengan header `otorisasi` yang dibuat khusus.


    Untuk mengetahui deskripsi lengkap dan dampak dari CVE di atas, lihat ke keamanan buletin.

    28-04-2022 Penambahan: Apa yang harus saya lakukan?

    Versi GKE pada VMware berikut dapat memperbaiki kerentanan ini:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, dan CVE-2022-21656
    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan
    Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. Anthos pada Bare metal terkena dampak karena Envoy digunakan untuk server metrik. CVE Envoy yang kami perbaiki di rilis 1.10.3, 1.9.6, dan 1.8.9 adalah yang tercantum di bawah ini:
    • CVE-2021-43824 (skor CVSS 6,5, Sedang): Potensi pembatalan referensi pointer null saat menggunakan filter JWT safe_regex yang cocok.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda bisa terpengaruh jika menggunakan ekspresi reguler filter JWT.
    • CVE-2021-43825 (skor CVSS 6,1, Sedang): Gunakan setelah gratis saat filter respons meningkatkan data respons data melebihi batas buffer downstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan dekompresi filter.
    • CVE-2021-43826 (skor CVSS 6,1, Sedang): Use-after-free saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembentukan koneksi upstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter tunneling.
    • CVE-2022-21654 (skor CVSS 7,3, Tinggi): Salah penanganan konfigurasi memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah pengaturan validasi diubah.
      Catatan: Semua ASM/Istio-on-GKE layanan yang menggunakan mTLS terpengaruh oleh CVE ini.
    • CVE-2022-21655 (skor CVSS 7,5, Tinggi): Salah penanganan pengalihan internal ke rute dengan respons langsung entri.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda bisa terpengaruh jika Anda menggunakan filter respons langsung.
    • CVE-2022-23606 (skor CVSS 4,4, Sedang): Stack kelelahan saat cluster dihapus melalui Penemuan Cluster Layanan.
      Catatan: ASM 1.11+ terpengaruh oleh CVE ini. ASM 1.10 dan Semua Istio-on-GKE tidak terpengaruh oleh CVE ini.
    • CVE-2022-21657 (Skor CVSS 3,1, Rendah): Envoy hingga 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena X.509 Pengabaian Penggunaan Kunci yang Diperpanjang dan Tujuan Kepercayaan.
    • CVE-2022-21656 (Skor CVSS 3,1, Rendah): Envoy hingga 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena X.509 pengabaian pencocokan subjekAltName (dan nameConstraints).
    Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos aktif Bare metal terkena dampak karena Istio digunakan untuk traffic masuk. Istio CVE yang kami perbaiki di rilis 1.10.3, 1.9.6, dan 1.8.9 sudah terdaftar di bawah:

    • CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod error saat menerima permintaan dengan `otorisasi` yang dibuat khusus {i>header<i}.
      Catatan: Semua ASM/Istio-on-GKE terpengaruh oleh CVE ini.

    Untuk mengetahui deskripsi lengkap dan dampak dari CVE di atas, lihat kepada sistem keamanan buletin.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, dan CVE-2022-21656
    Tinggi

    GCP-2022-006

    Dipublikasikan: 14-02-2022
    Diperbarui: 16-05-2022
    Update 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini.
    Update 12-05-2022: Versi patch yang diupdate untuk GKE, Google Distributed Cloud Virtual untuk Bare Metal, GKE di VMware, dan GKE di AWS. Memperbaiki masalah buletin keamanan untuk GKE pada AWS yang tidak ditampilkan saat ditambahkan pada 23-02-2022.

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu kerentanan yang dapat dieksploitasi untuk pemecahan container.

    Apa yang harus saya lakukan?

    Pembaruan 16-05-2022: Selain versi GKE yang disebutkan dalam update 12-05-2022, GKE versi 1.19.16-gke.7800 atau yang lebih baru juga berisi kode yang memperbaiki kerentanan ini.


    Pembaruan 12-05-2022: Versi GKE berikut berisi kode yang memperbaiki masalah ini kerentanan:

    • 1.20.15-gke.5600 atau yang lebih baru
    • 1.21.11-gke.1500 atau yang lebih baru
    • 1.22.8-gke.1800 atau yang lebih baru
    • 1.23.5-gke.1800 atau yang lebih baru

    Pembaruan 15-02-2022: Pernyataan gVisor yang dikoreksi.

    Kerentanan ini ditemukan dalam cgroup_release_agent_write kernel Linux dalam fungsi kernel/cgroup/cgroup-v1.c dan dapat digunakan sebagai container kerja kelompok. GKE tidak terpengaruh karena perlindungan dari AppArmor default di Ubuntu dan COS. Namun, beberapa pelanggan mungkin masih rentan jika mereka memiliki melonggarkan pembatasan keamanan pada pod melalui modifikasi Pod atau container securityContext, mis. dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Selain profil AppArmor default, fitur-fitur ini juga melindungi terhadap kerentanan:

    • Autopilot GKE tidak terpengaruh karena profil seccomp default.
    • Update 15-02-2022: gVisor (GKE Sandbox) adalah tidak terpengaruh karena gVisor tidak mengizinkan akses ke panggilan sistem yang rentan pada {i>host<i}.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui bila semua itu tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu kerentanan yang dapat dieksploitasi untuk pemecahan container.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki masalah ini kerentanan.

    COS
    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru
    • 1.11.0 atau yang lebih baru
    Ubuntu
    • 1.9.6 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Kerentanan ini ditemukan di {i> cgroup_release_agent_write<i} kernel Linux di {i>kernel/cgroup/cgroup-v1.c<i} dan dapat digunakan sebagai {i>breaking<i} kontainer. GKE pada VMware tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah batasan keamanan pada pod melalui modifikasi Pod atau securityContext container Misalnya, dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui jika yang tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu kerentanan yang dapat dieksploitasi untuk pemecahan container.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: GKE versi saat ini dan sebelumnya di AWS berisi kode yang memperbaiki kerentanan ini:

    Generasi saat ini
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generasi sebelumnya
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Pembaruan 23-02-2022: Penambahan catatan untuk GKE di AWS.

    GKE di AWS generasi sebelumnya dan saat ini tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan keamanan batasan pada pod melalui modifikasi kolom Pod atau container securityContext, misalnya dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui jika yang tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GKE Enterprise di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu kerentanan yang dapat dieksploitasi untuk pemecahan container.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: Versi GKE di Azure berikut berisi kode yang memperbaiki masalah ini kerentanan:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE di Azure tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan keamanan batasan pada pod melalui modifikasi kolom Pod atau container securityContext, misalnya dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui jika yang tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GCP-2022-005

    Dipublikasikan: 11-02-2022
    Diperbarui: 15-02-2022
    Referensi: CVE-2021-43527

    GKE

    Deskripsi Keparahan
    Update 15-02-2022: Beberapa versi GKE yang disebutkan dalam versi asli digabungkan dengan perbaikan lainnya dan nomor versinya akan bertambah sebelum dirilis. Patch tersedia di GKE berikut versi:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan di biner apa pun yang tertaut ke versi rentan dari libnss3 yang ditemukan di versi NSS (Network Security Services) sebelum ke 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, X.509, Fungsi OCSP atau CRL dapat terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Keduanya Image GKE COS dan Ubuntu memiliki versi terinstal yang rentan, dan perlu di-patch.

    Berpotensi, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Serta aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS, X.509, OCSP, atau CRL lainnya fungsionalitas layanan mungkin terpengaruh. Dampak bergantung pada cara NSS digunakan/dikonfigurasi.

    GKE tidak menggunakan libnss3 untuk API yang dapat diakses melalui Internet. Dampaknya adalah terbatas pada kode pada host yang berjalan di luar container, dan berukuran kecil karena desainnya yang minimal Chrome OS. Kode GKE yang berjalan di dalam container menggunakan metode distroless image dasar tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Tingkatkan bidang kontrol dan node Anda ke salah satu versi GKE berikut:

    • Versi 1.18 akan ditentukan
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Apakah Anda menggunakan versi GKE yang lebih lama dari 1.18? Anda menggunakan Versi GKE SLA dan sebaiknya mempertimbangkan untuk mengupgrade ke salah satu versi yang didukung.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan di biner apa pun yang tertaut ke versi rentan dari libnss3 yang ditemukan di versi NSS (Network Security Services) sebelum ke 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, X.509, Fungsi OCSP atau CRL mungkin terpengaruh, bergantung pada cara mereka mengonfigurasi NSS. Keduanya GKE pada image VMware COS dan Ubuntu memiliki versi rentan terinstal, dan perlu diberi patch.

    Berpotensi, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS\#7, atau PKCS \#12. Serta aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS, X.509, OCSP, atau CRL lainnya fungsionalitas layanan mungkin terpengaruh. Dampak bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Anthos aktif VMware tidak menggunakan libnss3 untuk API yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE untuk GKE di VMware ini dinilai sebagai Medium.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi Anthos berikut telah diupdate kode untuk memperbaiki kerentanan ini. Tingkatkan bidang kontrol dan node Anda ke salah satu versi Anthos berikut:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Apakah Anda menggunakan GKE pada VMware versi yang lebih lama dari 1.18? Anda menggunakan Versi Anthos dari SLA dan sebaiknya upgrade ke salah satu versi yang didukung.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    GKE Enterprise di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan di biner apa pun yang tertaut ke versi rentan dari libnss3 yang ditemukan di versi NSS (Network Security Services) sebelum ke 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, X.509, Fungsi OCSP atau CRL dapat terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Anthos cluster pada image Azure Ubuntu memiliki versi kerentanan yang terinstal, dan harus di-patch.

    Berpotensi, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Serta aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS, X.509, OCSP, atau CRL lainnya fungsionalitas layanan mungkin terpengaruh. Dampak bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Cluster Anthos di Azure tidak menggunakan libnss3 untuk API yang dapat diakses secara publik, sehingga dampaknya dan tingkat keparahan CVE untuk Anthos di Azure ini dinilai sebagai Medium.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi Anthos di Azure berikut:

    • v1.21.6-gke.1500

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    GCP-2022-004

    Dipublikasikan: 04-02-2022
    Referensi: CVE-2021-4034

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan.

    Apa yang harus saya lakukan?

    GKE tidak terpengaruh karena modul rentan, policykit-1, tidak diinstal di image COS atau Ubuntu yang digunakan di GKE. Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan.

    Konfigurasi default GKE Enterprise telah memberi pengguna "sudo" lengkap sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada

    Detail teknis

    Agar bug ini dapat dieksploitasi, penyerang membutuhkan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di VMware menyertakan versi policykit-1 pada image rilisnya, konfigurasi default GKE Enterprise sudah mengizinkan sudo tanpa sandi bagi siapa saja yang memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE pada VMware tidak terpengaruh.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan
    GKE di AWS tidak terpengaruh. Modul rentan, policykit-1, tidak diinstal di image Ubuntu yang digunakan oleh GKE versi saat ini dan sebelumnya di AWS. Tidak ada

    GKE Enterprise di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan.

    Konfigurasi default GKE Enterprise telah memberi pengguna "sudo" lengkap sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada

    Detail teknis

    Agar bug ini dapat dieksploitasi, penyerang membutuhkan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di Azure menyertakan versi policykit-1 pada image rilisnya, konfigurasi default GKE Enterprise mengizinkan sudo tanpa sandi untuk siapa saja yang memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak terpengaruh.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan
    Google Distributed Cloud Virtual untuk Bare Metal mungkin terpengaruh bergantung pada paket yang diinstal di sistem operasi yang dikelola pelanggan. Pindai image OS Anda dan patch jika perlu. Tidak ada

    GCP-2022-002

    Dipublikasikan: 01-02-2022
    Diperbarui: 07-03-2022
    Referensi:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Update 04-02-2022: Menambahkan bagian untuk GKE di AWS dan GKE di Azure. Menambahkan update peluncuran untuk GKE dan GKE pada VMware.

    GKE

    Diperbarui: 07-03-2022

    Deskripsi Keparahan

    Tiga kerentanan keamanan, yaitu CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, ditemukan di {i>kernel<i} Linux, yang masing-masing dapat menyebabkan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini.

    Lihat catatan rilis COS untuk detail selengkapnya.

    Detail teknis

    Di CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem fsconfig untuk memicu {i>bug use-after-free<i} di {i>kernel<i} linux, yang menghasilkan hak istimewa {i>root<i}. Ini adalah eskalasi akses lokal yang akan menyebabkan pengelompokan container.

    CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan penampung ke simpul {i>host<i}.

    Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan operasi tulis melebihi batas yang akan menyebabkan terobosan container.

    Jalur eksploitasi untuk kerentanan ini yang bergantung pada opsi "unshare" syscall adalah diblokir pada cluster GKE Autopilot secara default menggunakan pemfilteran seccomp.

    Pengguna yang memiliki profil seccomp runtime container default yang diaktifkan secara manual di cluster GKE Standard juga terlindungi.

    Apa yang harus saya lakukan?

    Update 07-03-2022:Versi image node Linux untuk resource berikut versi GKE telah diupdate dengan kode untuk memperbaiki semua kerentanan ini untuk image Ubuntu dan COS. Upgrade bidang kontrol dan node Anda ke salah satu opsi berikut Versi GKE.

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Pembaruan 25-02-2022:Jika Anda menggunakan image node Ubuntu, 1.22.6-gke.1000 melakukan bukan alamat CVE-2021-22600. Kami akan memperbarui buletin ini dengan versi {i>patch<i} Ubuntu saat semua itu tersedia.


    Update 23-02-2022: Versi image node Linux untuk resource berikut versi GKE telah diupdate dengan kode untuk memperbaiki kerentanan tersebut. Upgrade cluster Anda ke salah satu versi GKE berikut.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Update 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari.


    Versi image node Linux untuk versi GKE berikut telah diupdate kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    Versi 1.22 dan 1.23 juga sedang dalam proses. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Cluster GKE aktif

    Diperbarui: 23-02-2022

    Deskripsi Keparahan

    Tiga kerentanan keamanan, yaitu CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, ditemukan di {i>kernel<i} Linux, yang masing-masing dapat menyebabkan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk detail selengkapnya.

    Detail teknis

    Di CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem fsconfig untuk memicu {i>bug use-after-free<i} di {i>kernel<i} linux, yang menghasilkan hak istimewa {i>root<i}. Ini adalah eskalasi akses lokal yang akan menyebabkan pengelompokan container.

    CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan penampung ke simpul {i>host<i}.

    Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan operasi tulis melebihi batas yang akan menyebabkan terobosan container.

    Pengguna yang memiliki profil seccomp runtime container default yang diaktifkan secara manual di cluster GKE Standard juga terlindungi.

    Apa yang harus saya lakukan?

    Update 23-02-2022: versi 1.10.2 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185) kini dijadwalkan untuk 1 Maret.

    Update 23-02-2022: Menambahkan versi yang di-patch untuk CVE-2021-2260.

    Versi 1.10.1 tidak mengatasi CVE-2021-22600 tetapi mengatasi yang lain kerentanan. Versi 1.9.4 dan 1.10.2, keduanya belum dirilis, akan membahas CVE-2021-22600. Versi image node Linux untuk versi berikut dari GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster ke salah satu versi GKE pada VMware berikut:

    • 1.10.1 (Perbaikan CVE-2021-4154 dan CVE-2022-0185. Dirilis 10 Februari)
    • 1.8.7 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Dirilis 17 Februari)
    • 1.9.4 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Dirilis 23 Februari)
    • 1.10.2 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Dijadwalkan untuk 24 Februari)

    Update 04-02-2022: Menambahkan informasi tentang image Ubuntu yang tidak ditangani CVE-2021-22600.

    Versi image node Linux untuk versi GKE pada VMware berikut ini memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu berikut GKE pada versi VMware:

    • 1.10.1 (hanya update COS. Patch Ubuntu akan berada di 1.10.2 yang dijadwalkan untuk 23 Februari)
    • 1.9.4 (dijadwalkan untuk 15 Februari)
    • 1.8.7 (dijadwalkan untuk 15 Februari)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Tiga kerentanan keamanan, yaitu CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, ditemukan di {i>kernel<i} Linux, yang masing-masing dapat menyebabkan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk detail selengkapnya.

    Detail teknis

    Di CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem fsconfig untuk memicu {i>bug use-after-free<i} di {i>kernel<i} linux, yang menghasilkan hak istimewa {i>root<i}. Ini adalah eskalasi akses lokal yang akan menyebabkan pengelompokan container.

    CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan penampung ke simpul {i>host<i}.

    Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan operasi tulis melebihi batas yang akan menyebabkan terobosan container.

    Pengguna yang memiliki profil seccomp runtime container default yang diaktifkan secara manual di cluster GKE Standard juga terlindungi.

    Apa yang harus saya lakukan?

    GKE on AWS

    Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke GKE berikut di versi AWS:

    • 1.21.6-gke.1500 dan yang lebih baru (tersedia pada bulan Februari)

    GKE di AWS (generasi sebelumnya)

    Versi image node Linux untuk versi GKE berikut di AWS (generasi sebelumnya) telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut di AWS (generasi sebelumnya):

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE Enterprise di

    Deskripsi Keparahan

    Tiga kerentanan keamanan, yaitu CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, ditemukan di {i>kernel<i} Linux, yang masing-masing dapat menyebabkan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk detail selengkapnya.

    Detail teknis

    Di CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem fsconfig untuk memicu {i>bug use-after-free<i} di {i>kernel<i} linux, yang menghasilkan hak istimewa {i>root<i}. Ini adalah eskalasi akses lokal yang akan menyebabkan pengelompokan container.

    CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan penampung ke simpul {i>host<i}.

    Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan operasi tulis melebihi batas yang akan menyebabkan terobosan container.

    Pengguna yang memiliki profil seccomp runtime container default yang diaktifkan secara manual di cluster GKE Standard juga terlindungi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi GKE berikut di Azure:

    • 1.21.6-gke.1500 dan yang lebih baru (tersedia pada bulan Februari)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GCP-2021-024

    Dipublikasikan: 21-10-2021
    Referensi: CVE-2021-25742

    GKE

    Deskripsi Keparahan

    Masalah keamanan ditemukan di ingress-nginx Kubernetes pengontrol, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token akun layanan ingress-nginx secret di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika Anda menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan

    Masalah keamanan ditemukan di ingress-nginx Kubernetes pengontrol, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token akun layanan ingress-nginx secret di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika Anda menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan

    Masalah keamanan ditemukan di ingress-nginx Kubernetes pengontrol, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token akun layanan ingress-nginx secret di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika Anda menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan

    Masalah keamanan ditemukan di ingress-nginx Kubernetes pengontrol, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token akun layanan ingress-nginx secret di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika Anda menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya.

    Tidak ada

    GCP-2021-019

    Dipublikasikan: 29-09-2021

    GKE

    Deskripsi Keparahan

    Ada masalah umum saat mengupdate resource BackendConfig menggunakan v1beta1 API yang menghapus kebijakan keamanan Google Cloud Armor yang aktif dari layanannya.

    Apakah saya terpengaruh?

    Jika BackendConfig Anda sudah diupdate dengan v1beta1 API, kebijakan keamanan Google Cloud Armor Anda mungkin telah dihapus. Untuk menentukan apakah ini telah terjadi, jalankan perintah berikut:

    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Jika respons tersebut menampilkan output: cluster Anda terpengaruh oleh masalah tersebut. Output perintah ini menampilkan daftar resource BackendConfig (<namespace>/<name>) yang terpengaruh oleh masalah tersebut.
    • Jika output kosong: BackendConfig belum diupdate menggunakan v1beta1 API sejak masalah diperkenalkan. Semua masa mendatang pembaruan BackendConfig Anda hanya boleh menggunakan v1.

    Masalah ini memengaruhi versi GKE berikut:

    • 1.18.19-gke.1400 hingga 1.18.20-gke.5100 (eksklusif)
    • 1.19.10-gke.700 hingga 1.19.14-gke.300 (eksklusif)
    • 1.20.6-gke.700 hingga 1.20.9-gke.900 (eksklusif)
    • 1.21 hingga 1.21.1-gke.2700 (eksklusif)

    Jika Anda tidak mengonfigurasi Google Cloud Armor pada resource Ingress melalui BackendConfig, maka masalah ini tidak memengaruhi cluster Anda.

    Apa yang harus saya lakukan?

    Upgrade bidang kontrol GKE Anda ke salah satu versi terupdate berikut yang mem-patch masalah ini dan mengizinkan v1beta1 resource BackendConfig untuk digunakan dengan aman:

    • 1.21.1-gke.2700 dan yang lebih baru
    • 1.20.9-gke.900 dan yang lebih baru
    • 1.19.14-gke.300 dan yang lebih baru
    • 1.18.20-gke.5100 dan yang lebih baru

    Masalah ini juga dapat dicegah dengan menghindari deployment v1beta1 BackendConfig resource. Jika Anda mengonfigurasi Google Cloud Armor pada resource Ingress melalui BackendConfig dan Anda akan terpengaruh melalui langkah-langkah di atas, aktifkan kembali Google Cloud Armor dengan mengirimkan pembaruan ke resource BackendConfig Anda saat ini dengan versi API cloud.google.com/v1 .

    Untuk mencegah masalah ini, hanya lakukan pembaruan pada BackendConfig menggunakan v1 BackendConfig API.

    Karena v1 BackendConfig mendukung semua kolom yang sama dengan v1beta1 dan tidak membuat perubahan yang dapat menyebabkan gangguan, kolom API dapat diperbarui secara transparan. Untuk melakukannya, ganti kolom apiVersion dari manifes BackendConfig aktif dengan cloud.google.com/v1 dan jangan gunakan cloud.google.com/v1beta1.

    Contoh manifes berikut menjelaskan resource BackendConfig yang menggunakan v1API:

    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Jika Anda memiliki sistem atau alat CI/CD yang memperbarui resource BackendConfig secara rutin, pastikan Anda menggunakan grup API cloud.google.com/v1 di sistem tersebut

    Rendah

    GCP-2021-022

    Dipublikasikan: 23-09-2021

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan ditemukan di GKE Enterprise Identity Service (AIS) modul LDAP GKE pada VMware versi 1.8 dan 1.8.1 di mana kunci seed yang digunakan dalam pembuatan kunci dapat diprediksi. Dengan ini kerentanan, pengguna yang terautentikasi dapat menambahkan klaim arbitrer dan mengeskalasikan hak istimewa tanpa batas waktu.

    Detail teknis

    Penambahan terbaru pada kode AIS menciptakan kunci simetris menggunakan matematika/rand, yang tidak cocok untuk kode yang sensitif terhadap keamanan. Modul ini digunakan sedemikian rupa sehingga akan menghasilkan kunci yang dapat diprediksi. Selama verifikasi identitas, kunci layanan token aman (STS) yang kemudian dienkripsi dengan kunci simetris yang mudah untuk diperoleh.

    Apa yang harus saya lakukan?

    Kerentanan ini hanya memengaruhi pelanggan yang menggunakan AIS dalam GKE pada VMware versi 1.8 dan 1.8.1. Untuk pengguna GKE pada VMware 1.8, upgrade cluster Anda ke versi:

    • 1.8.2
    Tinggi

    GCP-2021-021

    Dipublikasikan: 22-09-2021
    Referensi: CVE-2020-8561

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2020-8561, ditemukan di Kubernetes di mana webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi API tersebut server tertentu.

    Detail teknis

    Dengan kerentanan ini, aktor yang mengontrol respons dari MutatingWebhookConfiguration atau Permintaan ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna tersebut dapat melihat log kube-apiserver ketika level log disetel ke 10, mereka dapat melihat respons dan {i>header <i}yang dialihkan ke dalam log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk Server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan versi yang saat ini tersedia GKE Enterprise telah menerapkan mitigasi berikut yang melindungi jaringan dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver disetel ke false.
    • Level log kube-apiserver disetel di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    <pCVE-2020-8561

    </p
    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2020-8561, ditemukan di Kubernetes di mana webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi API tersebut server tertentu.

    Detail teknis

    Dengan kerentanan ini, aktor yang mengontrol respons dari MutatingWebhookConfiguration atau Permintaan ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna tersebut dapat melihat log kube-apiserver ketika level log disetel ke 10, mereka dapat melihat respons dan {i>header <i}yang dialihkan ke dalam log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk Server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan versi yang saat ini tersedia GKE Enterprise telah menerapkan mitigasi berikut yang melindungi jaringan dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver disetel ke false.
    • Level log kube-apiserver disetel di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    <pCVE-2020-8561

    </p
    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2020-8561, ditemukan di Kubernetes di mana webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi API tersebut server tertentu.

    Detail teknis

    Dengan kerentanan ini, aktor yang mengontrol respons dari MutatingWebhookConfiguration atau Permintaan ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna tersebut dapat melihat log kube-apiserver ketika level log disetel ke 10, mereka dapat melihat respons dan {i>header <i}yang dialihkan ke dalam log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk Server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan versi yang saat ini tersedia GKE Enterprise telah menerapkan mitigasi berikut yang melindungi jaringan dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver disetel ke false.
    • Level log kube-apiserver disetel di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    <pCVE-2020-8561

    </p
    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2020-8561, ditemukan di Kubernetes di mana webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi API tersebut server tertentu.

    Detail teknis

    Dengan kerentanan ini, aktor yang mengontrol respons dari MutatingWebhookConfiguration atau Permintaan ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna tersebut dapat melihat log kube-apiserver ketika level log disetel ke 10, mereka dapat melihat respons dan {i>header <i}yang dialihkan ke dalam log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk Server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan versi yang saat ini tersedia GKE Enterprise telah menerapkan mitigasi berikut yang melindungi jaringan dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver disetel ke false.
    • Level log kube-apiserver disetel di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    <pCVE-2020-8561

    </p
    Sedang

    GCP-2021-018

    Dipublikasikan: 15-09-2021
    Diperbarui: 24-09-2021
    Referensi: CVE-2021-25741

    Update 24-09-2021: GKE pada buletin Bare Metal diupdate dengan versi lain yang telah di-patch.

    Update 20-09-2021: Buletin ditambahkan untuk GKE pada Bare Metal

    Update 16-09-2021: Buletin ditambahkan untuk GKE pada VMware


    GKE

    Deskripsi Keparahan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat penampung dengan volume subjalur pemasangan untuk mengakses file & direktori di luar volume, termasuk pada sistem file {i>host<i}.

    Detail teknis:

    Di CVE-2021-25741, penyerang dapat membuat {i>symbolic link<i} dari kosongDir yang dipasang ke sistem file {i>root<i} dari {i>node<i} ( / ), {i> kubelet<i} akan mengikuti symlink dan memasang {i> root host<i} ke dalam container.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade kumpulan node ke salah satu versi berikut atau yang lebih baru untuk memanfaatkan patch terbaru:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    Versi berikut juga berisi perbaikan:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat penampung dengan volume subjalur pemasangan untuk mengakses file & direktori di luar volume, termasuk pada sistem file {i>host<i}.

    Detail teknis:

    Di CVE-2021-25741, penyerang dapat membuat {i>symbolic link<i} dari kosongDir yang dipasang ke sistem file {i>root<i} dari {i>node<i} ( / ), {i> kubelet<i} akan mengikuti symlink dan memasang {i> root host<i} ke dalam container.

    Apa yang harus saya lakukan?

    Diperbarui 24-09-2021: Versi 1.8.3 dan 1.7.4 yang di-patch kini tersedia.

    Diperbarui 17-09-2021: Mengoreksi daftar versi yang tersedia yang berisi patch.


    Versi GKE pada VMware berikut telah diupdate dengan kode tertentu untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat penampung dengan volume subjalur pemasangan untuk mengakses file & direktori di luar volume, termasuk pada sistem file {i>host<i}.

    Detail teknis:

    Di CVE-2021-25741, penyerang dapat membuat {i>symbolic link<i} dari kosongDir yang dipasang ke sistem file {i>root<i} dari {i>node<i} ( / ), {i> kubelet<i} akan mengikuti symlink dan memasang {i> root host<i} ke dalam container.

    Apa yang harus saya lakukan?

    Update 16-9-2021: Menambahkan daftar versi gke yang didukung untuk objek AWSCluster dan AWSNodePool.


    Versi GKE di AWS berikut telah diupdate dengan kode tertentu untuk memperbaiki kerentanan ini. Sebaiknya Anda:

    • Upgrade AWSManagementService, AWSCluster Anda dan AWSNodePool ke versi berikut:
      • 1.8.2
    • Mengupdate versi gke AWSCluster dan AWSNodePool ke salah satu versi Kubernetes yang didukung:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat penampung dengan volume subjalur pemasangan untuk mengakses file & direktori di luar volume, termasuk pada sistem file {i>host<i}.

    Detail teknis:

    Di CVE-2021-25741, penyerang dapat membuat {i>symbolic link<i} dari kosongDir yang dipasang ke sistem file {i>root<i} dari {i>node<i} ( / ), {i> kubelet<i} akan mengikuti symlink dan memasang {i> root host<i} ke dalam container.

    Apa yang harus saya lakukan?

    Versi GKE berikut pada Bare Metal berikut telah diupdate kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:

    • 1.8.3
    • 1.7.4
    Tinggi

    GCP-2021-017

    Dipublikasikan: 01-09-2021
    Diperbarui: 23-09-2021
    Referensi: CVE-2021-33909
    CVE-2021-33910

    GKE

    Deskripsi Keparahan
    2021-09-23 update:

    Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini terhadap serangan yang berasal dari dalam container.


    2021-09-15 pembaruan:

    Versi GKE berikut mengatasi kerentanan:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah dalam {i>kernel<i} Linux yang dapat menyebabkan kerusakan OS atau eskalasi ke {i>root<i} oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Di CVE-2021-33909, Lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, sehingga ke overflow bilangan bulat, Operasi Tulis Di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran yang berlebihan (melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang) yang menyebabkan kerusakan pada sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah dalam {i>kernel<i} Linux yang dapat menyebabkan kerusakan OS atau eskalasi ke {i>root<i} oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Di CVE-2021-33909, Lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, sehingga ke overflow bilangan bulat, Operasi Tulis Di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran yang berlebihan (melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang) yang menyebabkan kerusakan pada sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk GKE di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah dalam {i>kernel<i} Linux yang dapat menyebabkan kerusakan OS atau eskalasi ke {i>root<i} oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Di CVE-2021-33909, Lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, sehingga ke overflow bilangan bulat, Operasi Tulis Di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran yang berlebihan (melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang) yang menyebabkan kerusakan pada sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux dan COS untuk GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (khusus Linux)

    Lihat Histori versi--Kubernetes dan versi kernel node.

    Tinggi

    GCP-2021-015

    Dipublikasikan: 13-07-2021
    Diperbarui: 15-07-2021
    Referensi: CVE-2021-22555

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan baru, CVE-2021-22555, ditemukan di mana pelaku kejahatan dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan pemisahan container ke {i>root<i} pada {i>host<i}. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

    Detail teknis

    Dalam serangan ini, penulisan yang melebihi batas di setsockopt dalam subsistem netfilter di Linux bisa menimbulkan korupsi heap (dan juga denial of service) dan eskalasi hak istimewa.

    Apa yang harus saya lakukan?

    Versi Linux di GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-22555

    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan keamanan baru, CVE-2021-22555, ditemukan di mana pelaku kejahatan dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan pemisahan container ke {i>root<i} pada {i>host<i}. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

    Detail teknis

    Dalam serangan ini, penulisan yang melebihi batas di setsockopt dalam subsistem netfilter di Linux bisa menimbulkan korupsi heap (dan juga denial of service) dan eskalasi hak istimewa.

    Apa yang harus saya lakukan?

    Versi Linux di GKE pada VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1,8
    • 1.7.3
    • 1.6.4

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-22555

    Tinggi

    GCP-2021-014

    Dipublikasikan: 05-07-2021
    Referensi: CVE-2021-34527

    GKE

    Deskripsi Keparahan

    Microsoft memublikasikan buletin keamanan tentang kerentanan Eksekusi Kode Jarak Jauh (RCE), CVE-2021-34527, yang memengaruhi spooler cetak di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan pembaruan tentang kerentanan terkait, yang dijuluki "PrintNightmare" yang juga memengaruhi spooler cetak Windows - PrintNightmare, Kerentanan Critical Windows Print Spooler

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Sebagai bagian dari image dasar, node GKE Windows tidak memuat layanan Spooler yang terpengaruh, sehingga deployment GKE Windows tidak rentan terhadap serangan ini.

    Kerentanan apa yang diatasi oleh buletin ini?

    Tinggi

    GCP-2021-012

    Dipublikasikan: 01-07-2021
    Diperbarui: 09-07-2021
    Referensi: CVE-2021-34824

    GKE

    Deskripsi Keparahan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda.

    Detail teknis:

    Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod.

    Apa yang harus saya lakukan?

    Cluster GKE tidak menjalankan Istio secara default dan, saat diaktifkan, menggunakan Istio versi 1.6, yang tidak rentan terhadap serangan ini. Jika Anda telah menginstal atau mengupgrade Istio di cluster ke Istio 1.8 atau yang lebih baru, upgrade Istio ke versi terbaru yang didukung.

    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda.

    Detail teknis:

    Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod.

    Apa yang harus saya lakukan?

    Cluster Anthos di VMware v1.6 dan v1.7 tidak rentan terhadap serangan ini. Cluster Anthos di VMware v1.8 rentan.

    Jika Anda menggunakan cluster Anthos di VMware v1.8, upgrade ke versi yang di-patch berikut atau yang lebih baru:

    • 1.8.0-gke.25
    Tinggi

    Cluster GKE aktif

    Deskripsi Keparahan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda.

    Detail teknis:

    Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod. Cluster yang dibuat atau diupgrade dengan cluster Anthos di bare metal v1.8.0 akan terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Anthos v1.6 dan 1.7 tidak rentan terhadap serangan ini. Jika Anda memiliki cluster v1.8.0, download dan instal bmctl versi 1.8.1 dan upgrade cluster Anda ke versi yang di-patch berikut:

    • 1.8.1
    Tinggi

    GCP-2021-011

    Dipublikasikan: 04-06-2021
    Diperbarui: 19-10-2021
    Referensi: CVE-2021-30465

    Update 19-10-2021: Menambahkan buletin untuk GKE pada VMware, GKE di AWS, dan GKE di Bare Metal.

    GKE

    Deskripsi Keparahan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Untuk GKE, karena pemanfaatan kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah memberi rating tingkat keparahan kerentanan ini di MEDIUM.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan spesifik ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya {i>symlink<i}.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan root izin akses.

    Apa yang harus saya lakukan?

    Terdapat patch yang baru dirilis untuk runc (1.0.0-rc95) yang memperbaiki masalah ini kerentanan.

    Upgrade cluster GKE Anda ke salah satu versi terbaru berikut:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Untuk GKE di VMware, karena pemanfaatan kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah memberi rating tingkat keparahan kerentanan ini di MEDIUM.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan spesifik ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya {i>symlink<i}.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan root izin akses.

    Apa yang harus saya lakukan?

    Terdapat patch yang baru dirilis untuk runc yang memperbaiki masalah ini kerentanan. Upgrade GKE Anda di VMware ke salah satu versi berikut:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Karena ini adalah kerentanan tingkat OS, GKE di AWS tidak rentan.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan spesifik ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya {i>symlink<i}.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan root izin akses.

    Apa yang harus saya lakukan?

    Pastikan versi OS tempat Anda menjalankan GKE di AWS telah diupgrade ke versi OS terbaru yang memiliki paket runc yang telah diupdate.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Karena ini adalah kerentanan tingkat OS, GKE pada Bare Metal tidak rentan.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan spesifik ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya {i>symlink<i}.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan root izin akses.

    Apa yang harus saya lakukan?

    Pastikan versi OS tempat Anda menjalankan Google Distributed Cloud Virtual for Bare Metal diupgrade ke versi OS terbaru yang memiliki paket runc yang telah diupdate.

    Tidak ada

    GCP-2021-006

    Dipublikasikan: 11-05-2021
    Referensi: CVE-2021-31920

    GKE

    Deskripsi Keparahan

    Project Istio baru-baru ini diungkap kerentanan keamanan baru (CVE-2021-31920) memengaruhi Istio.

    Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh di mana permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat jalur berbasis aturan otorisasi digunakan.

    Apa yang harus saya lakukan?

    Sebaiknya Anda mengupdate dan mengonfigurasi ulang GKE klaster. Perhatikan bahwa penting untuk menyelesaikan kedua langkah di bawah ini untuk berhasil mengatasi kerentanan:

    1. Update cluster Anda: Selesaikan petunjuk berikut untuk mengupgrade cluster Anda ke versi patch terbaru sesegera mungkin:
      • Jika Anda menggunakan Istio di GKE 1.6:

        Versi rilis patch terbaru adalah 1.6.14-gke.3. Harap ikuti petunjuk upgrade untuk mengupgrade cluster Anda ke versi terbaru.

      • Jika Anda menggunakan Istio di GKE 1.4:
      • Rilis Istio di GKE 1.4 tidak lagi didukung oleh Istio dan kami tidak melakukan backport perbaikan CVE untuk versi. Ikuti petunjuk upgrade Istio untuk mengupgrade cluster Anda ke versi 1.6, lalu ikuti petunjuk di atas untuk mendapatkan versi terbaru Istio di GKE 1.6.

    2. Mengonfigurasi Istio:

      Setelah cluster di-patch, Anda harus mengonfigurasi ulang Istio di GKE. Lihat panduan praktik terbaik keamanan untuk mengkonfigurasi sistem Anda dengan benar.

    Tinggi

    GCP-2021-004

    Dipublikasikan: 06-05-2021
    Referensi: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    Deskripsi Keparahan

    Project Envoy dan Istio baru-baru ini diumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat {i>crash<i} Envoy.

    Cluster GKE tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap {i>denial of service<i}.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade bidang kontrol GKE Anda ke salah satu versi yang di-patch berikut:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Project Envoy dan Istio baru-baru ini diumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat {i>crash<i} Envoy.

    GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade GKE Anda di VMware ke salah satu opsi berikut versi yang di-patch saat dirilis:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Sedang

    Cluster GKE aktif

    Diperbarui: 06-05-2021

    Deskripsi Keparahan

    Project Envoy dan Istio baru-baru ini diumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat {i>crash<i} Envoy.

    Google Distributed Cloud Virtual untuk Bare Metal menggunakan Envoy secara default untuk Ingress, jadi layanan Ingress mungkin rentan terhadap denial of service.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Google Distributed Cloud Virtual for Bare Metal ke satu versi yang di-patch berikut saat dirilis:

    • 1.6.3
    • 1.7.1
    Sedang

    GCP-2021-003

    Dipublikasikan: 19-04-2021
    Referensi: CVE-2021-25735

    GKE

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran yang Memvalidasi.

    Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan di mana kotak Webhook Penerimaan diterapkan yang menggunakan properti objek Node lama (untuk kolom contoh di Node.NodeSpec), penyerang dapat memperbarui properti yang dapat menyebabkan penyusupan ke cluster. Tidak ada kebijakan yang diberlakukan oleh GKE dan pengontrol penerimaan bawaan Kubernetes terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook penerimaan tambahan yang telah diinstal.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster GKE Anda ke salah satu versi yang di-patch berikut:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran yang Memvalidasi.

    Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan di mana kotak Webhook Penerimaan diterapkan yang menggunakan properti objek Node lama (untuk kolom contoh di Node.NodeSpec), penyerang dapat memperbarui properti yang dapat menyebabkan penyusupan ke cluster. Tidak ada kebijakan yang diberlakukan oleh GKE dan pengontrol penerimaan bawaan Kubernetes terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook penerimaan tambahan yang telah diinstal.

    Apa yang harus saya lakukan?

    Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran yang Memvalidasi.

    Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan di mana kotak Webhook Penerimaan diterapkan yang menggunakan properti objek Node lama (untuk kolom contoh di Node.NodeSpec), penyerang dapat memperbarui properti yang dapat menyebabkan penyusupan ke cluster. Tidak ada kebijakan yang diberlakukan oleh GKE dan pengontrol penerimaan bawaan Kubernetes terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook penerimaan tambahan yang telah diinstal.

    Apa yang harus saya lakukan?

    Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran yang Memvalidasi.

    Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan di mana kotak Webhook Penerimaan diterapkan yang menggunakan properti objek Node lama (untuk kolom contoh di Node.NodeSpec), penyerang dapat memperbarui properti yang dapat menyebabkan penyusupan ke cluster. Tidak ada kebijakan yang diberlakukan oleh GKE dan pengontrol penerimaan bawaan Kubernetes terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook penerimaan tambahan yang telah diinstal.

    Apa yang harus saya lakukan?

    Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    GCP-2021-001

    Dipublikasikan: 28-01-2021
    Referensi: CVE-2021-3156

    GKE

    Deskripsi Keparahan

    Sebuah kerentanan baru-baru ini ditemukan di aplikasi utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang memungkinkan penyerang dengan akses {i>shell<i} lokal yang tidak memiliki hak istimewa pada dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root sistem file.

    Cluster Google Kubernetes Engine (GKE) tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang memiliki otorisasi untuk SSH ke node GKE sudah dipertimbangkan hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa {i>root<i} secara desain. Tujuan kerentanan tidak menghasilkan jalur eskalasi akses tambahan dalam skenario ini.
    • Sebagian besar container sistem GKE dibangun dari image dasar tanpa gangguan yang tidak memiliki {i> shell<i} atau sudo yang terinstal. Gambar lainnya dibuat dari gambar dasar debian yang tidak berisi sudo. Meskipun sudo adalah ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke {i>host<i} karena batas container.

    Apa yang harus saya lakukan?

    Karena cluster GKE tidak terpengaruh oleh kerentanan ini, tindakan diperlukan.

    GKE akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme yang teratur.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan

    Sebuah kerentanan baru-baru ini ditemukan di aplikasi utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang memungkinkan penyerang dengan akses {i>shell<i} lokal yang tidak memiliki hak istimewa pada dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root sistem file.

    GKE di VMware tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang memiliki otorisasi untuk menjalankan SSH ke GKE pada node VMware sudah dipertimbangkan hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa {i>root<i} secara desain. Tujuan kerentanan tidak menghasilkan jalur eskalasi akses tambahan dalam skenario ini.
    • Sebagian besar GKE pada container sistem VMware dibangun dari image dasar tanpa gangguan yang tidak memiliki {i> shell<i} atau sudo yang terinstal. Gambar lainnya dibuat dari gambar dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke {i>host<i} karena batas container.

    Apa yang harus saya lakukan?

    Karena GKE pada cluster VMware tidak terpengaruh oleh kerentanan ini, tidak ada lagi tindakan diperlukan.

    GKE di VMware akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme yang teratur.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan

    Sebuah kerentanan baru-baru ini ditemukan di aplikasi utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang memungkinkan penyerang dengan akses {i>shell<i} lokal yang tidak memiliki hak istimewa pada dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root sistem file.

    GKE di AWS tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang memiliki otorisasi untuk SSH ke GKE pada node AWS sudah dipertimbangkan hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa {i>root<i} secara desain. Tujuan kerentanan tidak menghasilkan jalur eskalasi akses tambahan dalam skenario ini.
    • Sebagian besar GKE pada container sistem AWS dibangun dari image dasar tanpa gangguan yang tidak memiliki {i> shell<i} atau sudo yang terinstal. Gambar lainnya dibuat dari gambar dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke {i>host<i} karena batas container.

    Apa yang harus saya lakukan?

    Karena GKE di cluster AWS tidak terpengaruh oleh kerentanan ini, tindakan diperlukan.

    GKE di AWS akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme yang teratur.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keparahan

    Sebuah kerentanan baru-baru ini ditemukan di aplikasi utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang memungkinkan penyerang dengan akses {i>shell<i} lokal yang tidak memiliki hak istimewa pada dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root sistem file.

    Google Distributed Cloud Virtual untuk cluster Bare Metal tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang memiliki otorisasi SSH ke Google Distributed Cloud Virtual untuk node Bare Metal sudah dipertimbangkan hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa {i>root<i} secara desain. Tujuan kerentanan tidak menghasilkan jalur eskalasi akses tambahan dalam skenario ini.
    • Sebagian besar container sistem Google Distributed Cloud Virtual untuk Bare Metal dibangun dari image dasar tanpa gangguan yang tidak memiliki {i> shell<i} atau sudo yang terinstal. Gambar lainnya dibuat dari gambar dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke {i>host<i} karena batas container.

    Apa yang harus saya lakukan?

    Karena Google Distributed Cloud Virtual untuk cluster Bare Metal tidak terpengaruh oleh kerentanan ini, tidak lebih tindakan diperlukan.

    Google Distributed Cloud Virtual untuk Bare Metal akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme yang teratur.

    Tidak ada

    GCP-2020-015

    Dipublikasikan: 07-12-2020
    Diperbarui: 22-12-2021
    Referensi: CVE-2020-8554

    Update 22-12-2021: Menggunakan gcloud beta, bukan perintah gcloud.

    Update 15-12-2021: Menambahkan mitigasi tambahan untuk GKE.

    GKE

    Deskripsi Keparahan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIPs akan diblokir oleh pengontrol akses masuk DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster.


    Project Kubernetes baru-baru ini ditemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes dari mengetik LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain gugus ini.

    Kerentanan ini dengan sendirinya tidak memberikan izin bagi penyerang untuk membuat Service Kubernetes.

    Semua cluster Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya pada versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna membagikan akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi sementara waktu. Untuk saat ini, yang terbaik mitigasi adalah membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIPs adalah bukan fitur yang biasa digunakan.

    Membatasi penggunaan ExternalIP di cluster dengan salah satu dari metode berikut:

    1. Gunakan GKE Enterprise Policy Controller atau Gatekeeper dengan template batasan lalu menerapkannya. Contoh:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol penerimaan untuk mencegah penggunaan ExternalIPs. Project Kubernetes telah menyediakan contoh pengontrol tiket masuk untuk tugas ini.

    Sebagaimana disebutkan dalam Pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dan komponen sistem dengan hak istimewa diberi container.services.updateStatus izin yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIPs akan diblokir oleh pengontrol akses masuk DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster.


    Project Kubernetes baru-baru ini ditemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes dari mengetik LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain gugus ini.

    Kerentanan ini dengan sendirinya tidak memberikan izin bagi penyerang untuk membuat Service Kubernetes.

    Semua GKE di VMware terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya pada versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna membagikan akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi sementara waktu. Untuk saat ini, yang terbaik mitigasi adalah membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIPs adalah bukan fitur yang biasa digunakan.

    Membatasi penggunaan ExternalIP di cluster dengan salah satu dari metode berikut:

    1. Gunakan GKE Enterprise Policy Controller atau Gatekeeper dengan template batasan lalu menerapkannya. Contoh:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol penerimaan untuk mencegah penggunaan ExternalIPs. Project Kubernetes telah menyediakan contoh pengontrol tiket masuk untuk tugas ini.

    Sebagaimana disebutkan dalam Pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dan komponen sistem dengan hak istimewa diberi container.services.updateStatus izin yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIPs akan diblokir oleh pengontrol akses masuk DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster.


    Project Kubernetes baru-baru ini ditemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes dari mengetik LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain gugus ini.

    Kerentanan ini dengan sendirinya tidak memberikan izin bagi penyerang untuk membuat Service Kubernetes.

    Semua GKE di AWS terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya pada versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna membagikan akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi sementara waktu. Untuk saat ini, yang terbaik mitigasi adalah membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIPs adalah bukan fitur yang biasa digunakan.

    Membatasi penggunaan ExternalIP di cluster dengan salah satu dari metode berikut:

    1. Gunakan GKE Enterprise Policy Controller atau Gatekeeper dengan template batasan lalu menerapkannya. Contoh:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol penerimaan untuk mencegah penggunaan ExternalIPs. Project Kubernetes telah menyediakan contoh pengontrol tiket masuk untuk tugas ini.

    Sebagaimana disebutkan dalam Pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dan komponen sistem dengan hak istimewa diberi container.services.updateStatus izin yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    GCP-2020-014

    Dipublikasikan: 20-10-2020
    Referensi: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Diperbarui: 20-10-2020

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Tujuan masalahnya adalah:

    • CVE-2020-8563: Kebocoran rahasia di log untuk vSphere Provider kube-controller-manager
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file salah format dan loglevel >= 4
    • CVE-2020-8565: Perbaikan tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token di mencatat log saat logLevel >= 9. Ditemukan oleh GKE Security.
    • CVE-2020-8566: Ceph RBD adminSecrets terekspos di log saat loglevel >= 4

    GKE tidak terpengaruh.

    Apa yang harus saya lakukan?

    Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE.

    Tidak ada

    Cluster GKE aktif

    Diperbarui: 10-10-2020

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Tujuan masalahnya adalah:

    • CVE-2020-8563: Kebocoran rahasia di log untuk vSphere Provider kube-controller-manager
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file salah format dan loglevel >= 4
    • CVE-2020-8565: Perbaikan tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token di mencatat log saat logLevel >= 9. Ditemukan oleh GKE Security.
    • CVE-2020-8566: Ceph RBD adminSecrets terekspos di log saat loglevel >= 4

    GKE pada VMware tidak terpengaruh.

    Apa yang harus saya lakukan?

    Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE.

    Tidak ada

    Cluster GKE aktif

    Diperbarui: 20-10-2020

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Tujuan masalahnya adalah:

    • CVE-2020-8563: Kebocoran rahasia di log untuk vSphere Provider kube-controller-manager
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file salah format dan loglevel >= 4
    • CVE-2020-8565: Perbaikan tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token di mencatat log saat logLevel >= 9. Ditemukan oleh GKE Security.
    • CVE-2020-8566: Ceph RBD adminSecrets terekspos di log saat loglevel >= 4

    GKE di AWS tidak terpengaruh.

    Apa yang harus saya lakukan?

    Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE.

    Tidak ada

    GCP-2020-012

    Dipublikasikan: 14-09-2020
    Referensi: CVE-2020-14386

    GKE

    Deskripsi Keparahan

    Baru-baru ini, kerentanan ditemukan di {i>kernel<i} Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container untuk mendapatkan hak istimewa root pada node host.

    Semua node GKE terpengaruh. Pod yang berjalan di Sandbox GKE tidak dapat memanfaatkan kerentanan ini.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade bidang kontrol, lalu node Anda ke salah satu versi yang di-patch yang tercantum di bawah ini:

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    Eksploitasi kerentanan ini memerlukan CAP_NET_RAW, tetapi sangat sedikit container biasanya memerlukan CAP_NET_RAW. Alat ini dan alat canggih lainnya kemampuan harus diblokir secara default melalui PodSecurityPolicy atau Pengontrol Kebijakan:

    Lepaskan kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Pemilah Komunikasi dengan batasan template lalu menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis memori kernel 1 hingga 10 byte, dan mungkin keluar dari kontainer dan mendapatkan hak istimewa {i>root<i} pada node {i>host<i}. Ini dinilai sebagai kerentanan tingkat keparahan yang tinggi.

    Tinggi

    Cluster GKE aktif

    Diperbarui: 17-09-2020

    Deskripsi Keparahan

    Baru-baru ini, kerentanan ditemukan di {i>kernel<i} Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container untuk mendapatkan hak istimewa root pada node host.

    Semua node GKE pada VMware terpengaruh.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang telah di-patch. Versi {gke_on_prem_name}} mendatang berikut akan berisi perbaikan untuk kerentanan tersebut, dan buletin ini akan diperbarui jika tersedia:

    • GKE di VMware 1.4.3 kini tersedia.
    • GKE di VMware 1.3.4 kini tersedia.

    Eksploitasi kerentanan ini memerlukan CAP_NET_RAW, tetapi sangat sedikit container biasanya memerlukan CAP_NET_RAW. Alat ini dan alat canggih lainnya kemampuan harus diblokir secara default melalui PodSecurityPolicy atau Pengontrol Kebijakan:

    Lepaskan kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Pemilah Komunikasi dengan batasan template lalu menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis memori kernel 1 hingga 10 byte, dan mungkin keluar dari kontainer dan mendapatkan hak istimewa {i>root<i} pada node {i>host<i}. Ini dinilai sebagai kerentanan tingkat keparahan yang tinggi.

    Tinggi

    Cluster GKE aktif

    Diperbarui: 13-10-2020

    Deskripsi Keparahan

    Baru-baru ini, kerentanan ditemukan di {i>kernel<i} Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container untuk mendapatkan hak istimewa root pada node host.

    Semua node GKE pada AWS terpengaruh.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade layanan pengelolaan dan cluster pengguna ke versi yang di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut akan menyertakan perbaikan untuk kerentanan tersebut, dan buletin ini akan diperbarui jika tersedia:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Lepaskan kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Pemilah Komunikasi dengan batasan template lalu menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis memori kernel 1 hingga 10 byte, dan mungkin keluar dari kontainer dan mendapatkan hak istimewa {i>root<i} pada node {i>host<i}. Ini dinilai sebagai kerentanan tingkat keparahan yang tinggi.

    Tinggi

    GCP-2020-011

    Dipublikasikan: 24-07-2020
    Referensi: CVE-2020-8558

    GKE

    Deskripsi Keparahan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan loopback interface (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke loopback untuk antarmuka Pod dan node yang berdekatan. Layanan yang mengandalkan loopback dan antarmuka yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi.

    Memanfaatkan kerentanan ini di cluster GKE mengharuskan penyerang memiliki hak istimewa administrator jaringan di Google Cloud yang menghosting VPC cluster. Kerentanan ini saja tidak memberikan hak istimewa administrator jaringan kepada penyerang. Sebagai oleh karena itu, kerentanan ini telah ditetapkan tingkat keparahan Rendah untuk hanya pada container yang tepercaya.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade kumpulan node cluster Anda ke versi GKE berikut (dan yang lebih baru):

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Rendah

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan loopback interface (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke loopback untuk antarmuka Pod dan node yang berdekatan. Layanan yang mengandalkan loopback dan antarmuka yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:

    • GKE di VMware 1.4.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan loopback interface (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke loopback untuk antarmuka Pod dan node yang berdekatan. Layanan yang mengandalkan loopback dan antarmuka yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi.

    Eksploitasi kerentanan ini pada cluster pengguna mengharuskan penyerang untuk menonaktifkan pemeriksaan tujuan sumber pada instance EC2 di cluster. Hal ini mengharuskan penyerang memiliki izin IAM AWS untuk ModifyInstanceAttribute atau ModifyNetworkInterfaceAttribute pada instans EC2. Karena alasan ini, kerentanan ini telah ditetapkan tingkat keparahan Rendah untuk GKE di AWS.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang telah di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut adalah diharapkan menyertakan perbaikan untuk kerentanan ini:

    • GKE di AWS 1.4.1-gke.17

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Rendah

    GCP-2020-009

    Dipublikasikan: 15-07-2020
    Referensi: CVE-2020-8559

    GKE

    Deskripsi Keparahan

    Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan sebuah penyerang yang telah menyusupi {i>node<i} untuk menjalankan perintah pada Pod di cluster. Dengan demikian, penyerang dapat menggunakan sandi yang sudah untuk menyusupi {i>node<i} lain dan berpotensi membaca informasi, atau dapat menimbulkan tindakan destruktif.

    Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, sebuah {i>node<i} di cluster sudah pasti sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan mengganggu node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang telah di-patch. Cluster akan menjadi diupgrade otomatis selama beberapa minggu ke depan, dan versi yang di-patch akan tersedia paling lambat 19 Juli 2020 untuk jadwal upgrade manual yang dipercepat. Versi bidang kontrol GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini dinilai sebagai Kerentanan sedang untuk GKE, karena memerlukan penyerang mendapatkan informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan sebuah penyerang dengan {i>node<i} yang telah disusupi.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan sebuah penyerang yang telah menyusupi {i>node<i} untuk menjalankan perintah pada Pod di cluster. Dengan demikian, penyerang dapat menggunakan sandi yang sudah untuk menyusupi {i>node<i} lain dan berpotensi membaca informasi, atau dapat menimbulkan tindakan destruktif.

    Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, sebuah {i>node<i} di cluster sudah pasti sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan mengganggu node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    Upgradekan cluster ke versi yang di-patch. GKE mendatang pada VMware berikut versi atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini dinilai sebagai Kerentanan sedang untuk GKE, karena memerlukan penyerang mendapatkan informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan sebuah penyerang dengan {i>node<i} yang telah disusupi.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan sebuah penyerang yang telah menyusupi {i>node<i} untuk menjalankan perintah pada Pod di cluster. Dengan demikian, penyerang dapat menggunakan sandi yang sudah untuk menyusupi {i>node<i} lain dan berpotensi membaca informasi, atau dapat menimbulkan tindakan destruktif.

    Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, sebuah {i>node<i} di cluster sudah pasti sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan mengganggu node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    GKE di AWS GA (1.4.1, tersedia akhir Juli 2020) atau yang lebih baru menyertakan {i>patch<i} untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download versi baru alat command line anthos-gke versi baru dan membuat ulang cluster pengelolaan dan pengguna Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini dinilai sebagai Kerentanan sedang untuk GKE, karena memerlukan penyerang mendapatkan informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan sebuah penyerang dengan {i>node<i} yang telah disusupi.

    Sedang

    GCP-2020-007

    Dipublikasikan: 01-06-2020
    Referensi: CVE-2020-8555

    GKE

    Deskripsi Keparahan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, sehingga memungkinkan membocorkan hingga 500 byte informasi sensitif dari jaringan {i>host<i} bidang kontrol. Kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan. Sebaiknya Anda upgrade bidang kontrol ke versi {i>patch<i} terbaru, seperti yang kami jelaskan di bawah ini. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Luas mayoritas cluster sudah menjalankan versi yang di-patch. Versi GKE berikut atau yang lebih baru berisi perbaikan untuk masalah ini kerentanan:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    {i>Cluster<i} yang menggunakan saluran rilis sudah ada di versi bidang kontrol dengan mitigasi.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8555. Ini dinilai sebagai kerentanan Medium karena sulit untuk dieksploitasi karena berbagai tindakan pengerasan bidang kontrol.

    Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager untuk membuat GET permintaan atau POST permintaan tanpa permintaan yang dikontrol penyerang dari jaringan {i>host<i} master. Jenis volume ini jarang digunakan di GKE, penggunaan baru jenis volume ini mungkin sinyal deteksi yang berguna.

    Dikombinasikan dengan cara untuk membocorkan hasil GET/POST kembali ke penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah memperbarui {i> driver<i} penyimpanan di untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, sehingga memungkinkan membocorkan hingga 500 byte informasi sensitif dari jaringan {i>host<i} bidang kontrol. Kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    GKE berikut pada versi VMware atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • Anthos 1.3.0

    Jika Anda menggunakan versi sebelumnya, mengupgrade cluster yang sudah ada ke versi yang berisi perbaikan.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8555. Ini dinilai sebagai kerentanan Medium karena sulit untuk dieksploitasi karena berbagai tindakan pengerasan bidang kontrol.

    Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager untuk membuat GET permintaan atau POST permintaan tanpa permintaan yang dikontrol penyerang dari jaringan {i>host<i} master. Jenis volume ini jarang digunakan di GKE, penggunaan baru jenis volume ini mungkin sinyal deteksi yang berguna.

    Dikombinasikan dengan cara untuk membocorkan hasil GET/POST kembali ke penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah memperbarui {i> driver<i} penyimpanan di untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, sehingga memungkinkan membocorkan hingga 500 byte informasi sensitif dari jaringan {i>host<i} bidang kontrol. Kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    GKE pada AWS v0.2.0 atau yang lebih baru sudah mencakup {i>patch<i} untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download alat command line anthos-gke versi baru dan membuat ulang cluster pengelolaan dan pengguna Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8555. Ini dinilai sebagai kerentanan Medium karena sulit untuk dieksploitasi karena berbagai tindakan pengerasan bidang kontrol.

    Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager untuk membuat GET permintaan atau POST permintaan tanpa permintaan yang dikontrol penyerang dari jaringan {i>host<i} master. Jenis volume ini jarang digunakan di GKE, penggunaan baru jenis volume ini mungkin sinyal deteksi yang berguna.

    Dikombinasikan dengan cara untuk membocorkan hasil GET/POST kembali ke penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah memperbarui {i> driver<i} penyimpanan di untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    GCP-2020-006

    Dipublikasikan: 01-06-2020
    Referensi: Kubernetes isu 91507

    GKE

    Deskripsi Keparahan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan kontainer istimewa untuk mengalihkan lalu lintas node ke container. Traffic TLS/SSH timbal balik, seperti antara kubelet dan API server atau lalu lintas dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) oleh kerentanan ini, dan sebaiknya Anda upgrade dapat versi {i>patch<i} terbaru, seperti yang kami jelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Untuk memitigasi kerentanan ini, upgrade bidang kontrol, lalu {i>node<i} Anda ke salah satu versi yang telah di-patch yang tercantum di bawah ini. Cluster di saluran rilis sudah menjalankan versi yang di-patch di bidang kontrol dan node:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Sangat sedikit penampung yang biasanya memerlukan CAP_NET_RAW. Ini dan kemampuan canggih lainnya harus diblokir secara {i>default<i} melalui PodSecurityPolicy atau Pengontrol Kebijakan Anthos:

    Lepaskan kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Pemilah Komunikasi dengan batasan template lalu menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch mengurangi kerentanan berikut:

    Kerentanan yang dijelaskan di Masalah Kubernetes 91507 Kemampuan CAP_NET_RAW (yang disertakan dalam penampung default ditetapkan) untuk mengonfigurasikan stack IPv6 dengan niat jahat pada {i>node<i} dan mengalihkan lalu lintas {i>node<i} ke kontainer yang dikendalikan penyerang. Hal ini memungkinkan penyerang untuk mencegat/mengubah traffic yang berasal dari atau ditujukan untuk node. Bersama Traffic TLS/SSH, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan kontainer istimewa untuk mengalihkan lalu lintas node ke container. Traffic TLS/SSH timbal balik, seperti antara kubelet dan API server atau lalu lintas dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) oleh kerentanan ini, dan sebaiknya Anda upgrade ke versi {i>patch<i} terbaru, seperti yang kami jelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Guna memitigasi kerentanan untuk GKE pada VMware, mengupgrade cluster ke versi berikut atau yang lebih baru:
    • Anthos 1.3.2

    Sangat sedikit penampung yang biasanya memerlukan CAP_NET_RAW. Ini dan kemampuan canggih lainnya harus diblokir secara {i>default<i} melalui Pengontrol Kebijakan Anthos atau dengan mengupdate spesifikasi Pod:

    Lepaskan kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Pemilah Komunikasi dengan batasan template lalu menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch mengurangi kerentanan berikut:

    Kerentanan yang dijelaskan di Masalah Kubernetes 91507 Kemampuan CAP_NET_RAW (yang disertakan dalam penampung default ditetapkan) untuk mengonfigurasikan stack IPv6 dengan niat jahat pada {i>node<i} dan mengalihkan lalu lintas {i>node<i} ke kontainer yang dikendalikan penyerang. Hal ini memungkinkan penyerang untuk mencegat/mengubah traffic yang berasal dari atau ditujukan untuk node. Bersama Traffic TLS/SSH, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keparahan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan kontainer istimewa untuk mengalihkan lalu lintas node ke container. Traffic TLS/SSH timbal balik, seperti antara kubelet dan API server atau lalu lintas dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) oleh kerentanan ini, dan sebaiknya Anda upgrade ke versi {i>patch<i} terbaru, seperti yang kami jelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Download alat command line anthos-gke dengan versi berikut atau yang lebih baru, dan buat ulang cluster pengelolaan dan pengguna Anda:

    • aws-0.2.1-gke.7

    Sangat sedikit penampung yang biasanya memerlukan CAP_NET_RAW. Ini dan kemampuan canggih lainnya harus diblokir secara {i>default<i} melalui Pengontrol Kebijakan Anthos atau dengan mengupdate spesifikasi Pod:

    Lepaskan kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Pemilah Komunikasi dengan batasan template lalu menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch mengurangi kerentanan berikut:

    Kerentanan yang dijelaskan di Masalah Kubernetes 91507 Kemampuan CAP_NET_RAW (yang disertakan dalam penampung default ditetapkan) untuk mengonfigurasikan stack IPv6 dengan niat jahat pada {i>node<i} dan mengalihkan lalu lintas {i>node<i} ke kontainer yang dikendalikan penyerang. Hal ini memungkinkan penyerang untuk mencegat/mengubah traffic yang berasal dari atau ditujukan untuk node. Bersama Traffic TLS/SSH, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    GCP-2020-005

    Dipublikasikan: 07-05-2020
    Diperbarui: 07-05-2020
    Referensi: CVE-2020-8835

    GKE

    Deskripsi Keparahan

    Baru-baru ini, kerentanan ditemukan di {i>kernel<i} Linux, yang dijelaskan dalam CVE-2020-8835, memungkinkan escape container untuk mendapatkan hak istimewa {i>root <i}pada node host.

    Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru sesegera mungkin, saat kami menjelaskan di bawah ini.

    Node yang menjalankan Container-Optimized OS tidak akan terpengaruh. Node yang berjalan di GKE pada VMware tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node menjalankan Ubuntu di GKE versi 1.16 atau 1.17 adalah terdampak.

    Untuk mengupgrade node, pertama-tama Anda harus mengupgrade master ke versi terbaru. Patch ini akan tersedia di Kubernetes 1.16.8-gke.12, 1.17.4-gke.10, dan rilis yang lebih baru. Melacak ketersediaan patch ini dalam catatan rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    CVE-2020-8835 menjelaskan kerentanan pada {i>kernel<i} Linux versi 5.5.0 dan yang lebih baru yang memungkinkan kontainer berbahaya (dengan interaksi pengguna yang minimal bentuk exec) membaca dan menulis memori {i>kernel<i} dan dengan demikian mendapatkan eksekusi kode tingkat root pada node {i>host<i}. Ini dinilai sebagai 'Tinggi' tingkat keparahan.

    Tinggi

    GCP-2020-004

    Dipublikasikan: 07-05-2020
    Diperbarui: 07-05-2020
    Referensi: CVE-2019-11254

    Cluster GKE aktif

    Deskripsi Keparahan

    Baru-baru ini, kerentanan ditemukan di Kubernetes, CVE-2019-11254, yang memungkinkan setiap pengguna yang berwenang untuk membuat permintaan POST untuk mengeksekusi serangan Denial-of-Service jarak jauh pada server Kubernetes API. Tujuan Product Security Committee (PSC) Kubernetes merilis informasi tentang kerentanan ini yang dapat ditemukan di sini.

    Anda dapat memitigasi kerentanan ini dengan membatasi klien mana yang memiliki akses jaringan ke server Kubernetes API Anda.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini segera setelah tersedia.

    Versi patch yang berisi perbaikan tercantum di bawah ini:

    • Anthos 1.3.0, yang menjalankan Kubernetes versi 1.15.7-gke.32

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut:

    CVE-2019-11254.

    Sedang

    GCP-2020-003

    Dipublikasikan: 31-03-2020
    Diperbarui: 31-03-2020
    Referensi: CVE-2019-11254

    GKE

    Deskripsi Keparahan

    Baru-baru ini, kerentanan ditemukan di Kubernetes, CVE-2019-11254, yang memungkinkan setiap pengguna yang berwenang untuk membuat permintaan POST untuk mengeksekusi serangan Denial-of-Service jarak jauh pada server Kubernetes API. Tujuan Product Security Committee (PSC) Kubernetes merilis informasi tentang kerentanan ini yang dapat ditemukan di sini.

    Cluster GKE yang menggunakan Jaringan yang Diizinkan Master dan Cluster pribadi tanpa endpoint publik memitigasi kerentanan ini.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini.

    Versi patch yang berisi perbaikan tercantum di bawah ini:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut:

    CVE-2019-11254.

    Sedang

    GCP-2020-002

    Dipublikasikan: 23-03-2020
    Diperbarui: 23-03-2020
    Referensi: CVE-2020-8551, CVE-2020-8552

    GKE

    Deskripsi Keparahan

    Kubernetes telah mengungkapkan dua kerentanan denial of service, satu memengaruhi server API, dan satu lagi memengaruhi Kubelet. Untuk selengkapnya selengkapnya, lihat masalah Kubernetes: 89377 dan 89378.

    Apa yang harus saya lakukan?

    Semua pengguna GKE dilindungi dari CVE-2020-8551 kecuali pengguna yang tidak tepercaya dapat mengirim permintaan dalam jaringan internal cluster. Penggunaan jaringan yang diizinkan master mengurangi risiko tambahan terhadap CVE-2020-8552.

    Kapan fitur ini akan di-patch?

    Patch untuk CVE-2020-8551 memerlukan upgrade node. Versi patch yang akan berisi mitigasi tercantum di bawah ini:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Patch untuk CVE-2020-8552 memerlukan upgrade master. Versi patch yang akan berisi mitigasi tercantum di bawah ini:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Sedang

    GCP-january_21_2020

    Dipublikasikan: 21-01-2020
    Diperbarui: 24-01-2020
    Referensi: CVE-2019-11254

    GKE

    Deskripsi Keparahan

    Update 24-01-2020: Proses pembuatan patch versi yang tersedia sudah berlangsung dan akan selesai pada bulan Januari 25 2020.


    Microsoft telah mengungkapkan kerentanan pada Windows Crypto API dan validasi tanda tangan kurva eliptisnya. Untuk informasi lebih lanjut lihat Pengungkapan Microsoft.

    Apa yang sebaiknya saya lakukan?

    Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node dan menjalankan Windows Server akan terdampak.

    Untuk pelanggan yang menggunakan {i>node<i} Windows Server, baik {i>node<i} maupun workload dalam container yang berjalan pada node tersebut harus diupdate agar versi yang telah di-patch untuk mengurangi kerentanan ini.

    Untuk memperbarui penampung:

    Bangun ulang container Anda menggunakan image container dasar terbaru Microsoft, memilih servercore atau nanoserver dengan Waktu Terakhir Diperbarui pada 1/14/2020 atau setelahnya.

    Untuk mengupdate node:

    Proses penyediaan versi yang di-patch sudah berlangsung dan akan selesai paling lambat 24 Januari 2020.

    Anda dapat menunggu hingga waktu tersebut dan melakukan upgrade node ke membuat patch versi GKE atau Anda dapat menggunakan Windows Update untuk men-deploy versi Windows mem-patch secara manual kapan saja.

    Versi patch yang akan berisi mitigasi akan dicantumkan di bawah ini:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    CVE-2020-0601 - Kerentanan ini juga dikenal sebagai Jendela Kerentanan Spoofing Crypto API dan dapat dieksploitasi untuk file berbahaya yang dapat dieksekusi terlihat tepercaya atau memungkinkan penyerang melakukan serangan {i>man-in-the-middle<i} dan membongkar enkripsi informasi rahasia di TLS koneksi ke perangkat lunak yang terpengaruh.

    Skor Dasar NVD: 8,1 (Tinggi)

    Buletin keamanan yang diarsipkan

    Untuk buletin keamanan sebelum tahun 2020, lihat Arsip buletin keamanan.