Semua buletin keamanan untuk produk berikut dijelaskan di halaman ini:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (khusus software) di VMware
- GKE on AWS
- GKE on Azure
- Google Distributed Cloud (khusus software) pada bare metal
Kerentanan sering kali dirahasiakan di bawah embargo sampai pihak yang terkena dampak memiliki memiliki kesempatan untuk mengatasinya. Dalam kasus ini, catatan rilis produk akan lihat "pembaruan keamanan" sampai embargo dicabut. Pada tahap ini, catatan akan diperbarui untuk menunjukkan kerentanan yang dapat diatasi patch.
Saat GKE menerbitkan buletin keamanan yang berkorelasi langsung dengan
konfigurasi atau versi cluster Anda, kami mungkin mengirimkan SecurityBulletinEvent
notifikasi cluster yang memberikan informasi tentang kerentanan dan tindakan
yang dapat diambil, jika berlaku. Untuk mengetahui informasi tentang cara menyiapkan cluster
notifikasi, lihat Notifikasi cluster.
Untuk informasi selengkapnya tentang cara Google mengelola patch dan kerentanan keamanan untuk GKE dan GKE Enterprise, lihat Patching keamanan.
Platform GKE dan GKE Enterprise tidak menggunakan komponen
seperti ingress-nginx
dan runtime container CRI-O, serta tidak terpengaruh
oleh kerentanan
dalam komponen tersebut. Jika Anda menginstal komponen dari
sumber lain, lihat update keamanan dan saran patching
komponen di sumbernya.
Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini.
GCP-2024-045
Dipublikasikan: 17-07-2024
Referensi:
CVE-2024-26925
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-044
Dipublikasikan: 16-07-2024
Referensi:
CVE-2024-36972
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-043
Dipublikasikan: 16-07-2024
Referensi:
CVE-2024-26921
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-042
Dipublikasikan: 15-07-2024
Diperbarui: 18-07-2024
Referensi:
CVE-2024-26809
Update 18-07-2024: Memperjelas bahwa cluster Autopilot di cluster default tidak akan terpengaruh.
GKE
Diperbarui: 18-07-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 18-07-2024: Versi asli buletin ini salah
menyatakan bahwa cluster Autopilot terdampak. cluster Autopilot di
konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit
menyetel profil seccomp Unconfined atau mengizinkan kemampuan Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-041
Dipublikasikan: 08-07-2024
Diperbarui: 19-07-2024
Referensi:
CVE-2023-52654, CVE-2023-52656
Update 19-07-2024: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE.
GKE
Diperbarui: 19-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 19-07-2024: Versi GKE berikut berisi kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-040
Dipublikasikan: 01-07-2024
Diperbarui: 11-07-2024
Referensi:
CVE-2024-6387
Update 11-07-2024: Versi patch tambahan untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure.
Update 03-07-2024: Versi patch tambahan untuk GKE
Pembaruan 02-07-2024:
- Memperjelas bahwa klaster Autopilot terdampak dan akan membutuhkan tindakan pengguna.
- Menambahkan penilaian dampak dan langkah-langkah mitigasi untuk GDC (VMware), GKE di AWS, dan GKE di Azure.
- Memperbaiki buletin keamanan GDC (bare metal) untuk memperjelas bahwa GDC (bare metal) tidak secara langsung dan pelanggan harus menghubungi vendor OS untuk {i>patch<i}.
GKE
Diperbarui: 03-07-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 03-07-2024: Peluncuran yang dipercepat sedang berlangsung dan akan diharapkan membuat versi {i>patch<i} baru tersedia di semua zona dengan 3 Juli 2024 pukul 17.00 Waktu Musim Panas Pasifik Kanada dan Amerika Serikat (UTC-7). Kepada segera dapatkan notifikasi setelah patch tersedia untuk cluster tertentu, gunakan notifikasi cluster. Update 02-07-2024: Kerentanan ini memengaruhi kedua mode Autopilot serta cluster mode Standar. Setiap bagian selanjutnya akan memberi tahu Anda mode untuk bagian mana yang berlaku. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi. Semua versi image Container Optimized OS dan Ubuntu yang didukung di GKE menjalankan versi OpenSSH yang rentan terhadap masalah ini. Cluster GKE dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani dengan prioritas tertinggi untuk mitigasi. Bidang kontrol GKE tidak rentan terhadap masalah ini. Apa yang harus saya lakukan?Update 03-07-2024: Versi patch untuk GKEPeluncuran yang dipercepat sedang berlangsung dan diperkirakan akan membuat versi patch baru tersedia di semua zona mulai 3 Juli 2024 pukul 17.00 AS dan Waktu Musim Panas Pasifik Kanada (UTC-7). Cluster dan node yang mengaktifkan upgrade otomatis akan mulai diupgrade seiring berjalannya minggu, tetapi karena tingkat keparahan kerentanan, sebaiknya lakukan upgrade secara manual mendapatkan {i>patch<i} secepat mungkin. Untuk klaster Autopilot dan Standar, mengupgrade bidang kontrol ke versi yang telah di-patch. Selain itu, untuk cluster mode Standar, mengupgrade kumpulan node Anda ke versi yang telah di-patch. Cluster Autopilot akan mulai mengupgrade node Anda agar sesuai versi bidang kontrol sesegera mungkin. Versi GKE yang di-patch tersedia untuk setiap versi yang didukung guna meminimalkan perubahan yang diperlukan untuk menerapkan {i>patch<i}. Nomor versi untuk setiap versi baru adalah kenaikan pada digit terakhir pada nomor versi yang sesuai dengan versi yang ada. Misalnya, jika Anda menggunakan 1.27.14-gke.1100000, Anda akan mengupgrade ke 1.27.14-gke.1100002 ke mendapatkan perbaikan dengan perubahan sekecil mungkin. GKE berikut yang di-patch versi yang tersedia:
Untuk memeriksa apakah patch tersedia di zona atau region cluster Anda, jalankan perintah berikut berikut: gcloud container get-server-config --location=
Ganti Pembaruan 02-07-2024: Mode Autopilot dan mode Standard cluster harus diupgrade sesegera mungkin setelah versi patch tersedia. Versi GKE yang di-patch yang menyertakan OpenSSH yang telah diupdate akan dibuat tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, mengaktifkan notifikasi cluster. Sebaiknya lakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang disebutkan, sesuai kebutuhan. Menentukan apakah node Anda memiliki alamat IP publikUpdate 02-07-2024: Bagian ini berlaku untuk Autopilot dan Cluster standar. Jika cluster dibuat dengan
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" Jika nilai yang ditampilkan adalah True, semua node adalah node pribadi untuk cluster ini dan kerentanan dapat dimitigasi. Jika nilai kosong atau salah (false), lanjutkan untuk menerapkan salah satu mitigasi di bagian berikut. Untuk menemukan semua cluster yang awalnya dibuat dengan node publik, gunakan kueri Inventaris Aset Cloud ini dalam proyek atau organisasi: SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false Jangan izinkan SSH ke node clusterUpdate 02-07-2024: Bagian ini berlaku untuk Autopilot dan Cluster standar. Jaringan default sudah diisi otomatis dengan aturan firewall
Jika Anda telah membuat aturan {i>firewall<i} lain yang mungkin mengizinkan SSH melalui TCP pada porta 22, menonaktifkannya, atau membatasi IP sumber ke jaringan yang tepercaya. Memastikan bahwa Anda tidak dapat lagi melakukan SSH ke node cluster dari Internet. Konfigurasi {i>firewall<i} ini mengurangi kerentanan. Mengonversi kumpulan node publik menjadi pribadiUpdate 02-07-2024: Untuk cluster Autopilot yang awalnya dibuat sebagai cluster publik, Anda dapat menempatkan workload di node pribadi dengan menggunakan nodeSelectors. Namun, node Autopilot yang menjalankan beban kerja sistem pada cluster yang awalnya yang dibuat sebagai cluster publik akan tetap menjadi {i>node<i} publik dan harus dilindungi dengan menggunakan perubahan {i>firewall<i} yang dijelaskan di bagian sebelumnya. Untuk melindungi cluster yang awalnya dibuat dengan node publik secara optimal, sebaiknya Anda terlebih dahulu melarang SSH melalui {i>firewall<i} seperti yang telah dijelaskan. Jika Anda tidak dapat melarang menerapkan SSH melalui aturan firewall, Anda dapat mengonversi node pool publik di GKE Cluster standar menjadi pribadi dengan mengikuti panduan ini untuk mengisolasi kumpulan node. Mengubah konfigurasi SSHDUpdate 02-07-2024: Bagian ini hanya berlaku untuk Standard klaster. Workload autopilot tidak diizinkan untuk mengubah konfigurasi node. Jika tidak satu pun dari mitigasi ini dapat diterapkan, kami juga telah memublikasikan daemonset
yang menetapkan |
Kritis |
GDC (VMware)
Diperbarui: 11-07-2024
Deskripsi | Keparahan |
---|---|
Update 11-07-2024: Versi software GDC berikut untuk VMware telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade workstation admin Anda, ke cluster admin, dan cluster pengguna (termasuk kumpulan node) ke salah satu versi atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade cluster atau kumpulan node.
Pembaruan 02-07-2024 pada buletin ini salah menyatakan bahwa semua versi yang didukung image Ubuntu pada perangkat lunak GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini. Gambar Ubuntu pada perangkat lunak GDC untuk VMware versi 1.16 cluster menjalankan versi OpenSSH yang tidak rentan terhadap masalah ini. Ubuntu image dalam software GDC untuk VMware 1.28 dan 1.29 rentan. Image OS yang Dioptimalkan dengan Container pada semua versi Software GDC untuk VMware rentan terhadap masalah ini. Update 02-07-2024: Semua versi Container-Optimized OS yang didukung dan image Ubuntu pada software GDC untuk versi VMware yang menjalankan OpenSSH yang rentan terhadap masalah ini. Software GDC untuk cluster VMware dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi. Apa yang harus saya lakukan?Update 02-07-2024: Software GDC yang di-patch untuk versi VMware yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya terapkan hal berikut mitigasi sesuai kebutuhan. Jangan izinkan SSH ke node clusterAnda dapat mengubah pengaturan jaringan infrastruktur untuk melarang konektivitas SSH dari sumber yang tidak terpercaya, seperti internet publik. Ubah konfigurasi sshdJika Anda tidak dapat menerapkan mitigasi sebelumnya, kami telah
memublikasikan DaemonSet
yang menyetel sshd |
Kritis |
GKE on AWS
Diperbarui: 11-07-2024
Deskripsi | Keparahan |
---|---|
Update 11-07-2024: Versi GKE berikut di AWS telah diperbarui dengan kode untuk memperbaiki kerentanan ini:
Upgrade GKE Anda di bidang kontrol dan node pool AWS ke salah satu atau versi yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster AWS dan Mengupdate kumpulan node. Update 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di AWS menjalankan versi OpenSSH yang rentan terhadap masalah ini. GKE di cluster AWS dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi. Apa yang harus saya lakukan?Update 02-07-2024: GKE yang di-patch pada versi AWS yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya Anda mempelajari langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan sebagai diperlukan. Menentukan apakah node Anda memiliki alamat IP publikGKE di AWS tidak menyediakan mesin apa pun dengan salah satu alamat IP publik atau dengan aturan firewall yang mengizinkan lalu lintas data ke porta 22 secara {i>default<i}. Namun, tergantung pada konfigurasi subnet Anda, komputer mendapatkan alamat IP publik selama penyediaan. Untuk memeriksa apakah node disediakan dengan alamat IP publik, melihat konfigurasi subnet yang terkait dengan resource kumpulan node AWS Anda. Jangan izinkan SSH ke node clusterMeskipun GKE di AWS tidak mengizinkan traffic pada port 22 pada node mana pun dengan secara default, pelanggan dapat menambahkan grup keamanan tambahan ke node pool, sehingga memungkinkan traffic SSH. Sebaiknya Anda hapus atau cakupan di bawah aturan yang sesuai dari grup keamanan yang disediakan. Mengonversi kumpulan node publik menjadi pribadiUntuk melindungi cluster dengan node publik secara optimal, sebaiknya larang SSH melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika Anda tidak dapat melarang SSH dengan aturan grup keamanan, Anda dapat mengonversi kumpulan node publik menjadi menonaktifkan opsi untuk menetapkan IP publik secara otomatis ke komputer dalam subnet dan menyediakan kembali kumpulan node. |
Kritis |
GKE on Azure
Diperbarui: 11-07-2024
Deskripsi | Keparahan |
---|---|
Update 11-07-2024: Versi GKE berikut di Azure telah diperbarui dengan kode untuk memperbaiki kerentanan ini:
Upgrade GKE Anda di bidang kontrol dan node pool Azure ke salah satu opsi berikut atau versi yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster Azure Anda dan Mengupdate kumpulan node. Update 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di Azure menjalankan versi OpenSSH yang rentan terhadap masalah ini. GKE pada cluster Azure dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi. Apa yang harus saya lakukan?Update 02-07-2024: GKE yang di-patch pada versi Azure yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya Anda mempelajari langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan sebagai diperlukan. Menentukan apakah node Anda memiliki alamat IP publikGKE di Azure tidak menyediakan komputer apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan lalu lintas data ke porta 22 secara {i>default<i}. Untuk meninjau konfigurasi Azure untuk memeriksa apakah ada alamat IP publik yang dikonfigurasi di GKE Anda di cluster Azure, jalankan perintah berikut: az network public-ip list -g
Jangan izinkan SSH ke node clusterMeskipun GKE di Azure tidak mengizinkan traffic pada port 22 pada node mana pun dengan secara default, pelanggan dapat memperbarui aturan NetworkSecurityGroup ke node pool, traffic SSH dari internet publik. Kami sangat menyarankan Anda meninjau Grup Keamanan Jaringan (NSG) yang terkait dengan ke cluster Kubernetes Anda. Jika ada aturan NSG yang mengizinkan traffic masuk yang tidak dibatasi di port 22 (SSH), lakukan salah satu hal berikut:
Mengonversi kumpulan node publik menjadi pribadiUntuk melindungi cluster dengan node publik secara optimal, sebaiknya larang SSH melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika Anda tidak dapat melarang SSH dengan aturan grup keamanan, Anda dapat mengonversi kumpulan node publik menjadi menghapus alamat IP publik yang terkait dengan VM. Untuk menghapus alamat IP publik dari VM dan menggantinya dengan alamat IP pribadi konfigurasi, lihat Memisahkan alamat IP publik dari VM Azure. Dampak: Setiap koneksi yang ada yang menggunakan alamat IP publik akan terganggu. Pastikan Anda memiliki metode akses alternatif, seperti VPN atau Bastion Azure. |
Kritis |
GDC (bare metal)
Diperbarui: 02-07-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 02-07-2024: Versi asli buletin ini untuk Software GDC untuk bare metal salah menyatakan bahwa versi patch sedang berlangsung. Perangkat lunak GDC untuk bare metal tidak terpengaruh secara langsung karena tidak mengelola {i>daemon<i} SSH atau konfigurasi sistem operasi. Oleh karena itu, versi {i>patch<i} adalah tanggung jawab penyedia sistem operasi, sebagaimana dijelaskan dalam Apa yang harus saya lakukan?. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi. Apa yang harus saya lakukan?Update 02-07-2024: Hubungi penyedia OS Anda guna mendapatkan patch untuk sistem operasi digunakan dengan perangkat lunak GDC untuk bare metal. Sebelum Anda menerapkan {i>patch<i} vendor OS, pastikan
komputer yang dapat dijangkau publik tidak
mengizinkan koneksi SSH dari internet. Jika tidak memungkinkan, alternatifnya adalah dengan
setel grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 Perlu diperhatikan bahwa perubahan konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah dengan akses SSH yang sah. Teks asli 01-07-2024 (lihat update 02-07-2024 sebelumnya untuk koreksi): |
Kritis |
GCP-2024-039
Dipublikasikan: 28-06-2024
Referensi:
CVE-2024-26923
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-038
Dipublikasikan: 26-06-2024
Referensi:
CVE-2024-26924
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-036
Dipublikasikan: 18-06-2024
Referensi:
CVE-2024-26584
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-035
Dipublikasikan: 12-06-2024
Diperbarui: 18-07-2024
Referensi:
CVE-2024-26584
Update 18-07-2024: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE dan menambahkan versi patch untuk versi 1.27 pada kumpulan node Container-Optimized OS.
GKE
Diperbarui: 18-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgradekan Kumpulan node OS yang Dioptimalkan Container dengan versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh, tetapi versi patch-nya tidak tersedia. Kita akan perbarui buletin ini saat versi patch tersedia:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-034
Dipublikasikan: 11-06-2024
Diperbarui: 10-07-2024
Referensi:
CVE-2024-26583
Update 10-07-2024: Menambahkan versi patch untuk Node OS yang Dioptimalkan dengan Container yang menjalankan versi minor 1.26 dan 1.27 dan menambahkan versi {i>patch<i} untuk {i>node<i} Ubuntu.
GKE
Diperbarui: 10-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 10-07-2024: Versi GKE berikut adalah memperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Untuk versi minor 1.26 dan 1.27, upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-033
Dipublikasikan: 10-06-2024
Referensi:
CVE-2022-23222
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-031
Dipublikasikan: 24-05-2024
Referensi: CVE-2024-4323
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE di VMware tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE di AWS tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE di Azure tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh. GKE pada Bare Metal tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2024-030
Dipublikasikan: 15-05-2024
Diperbarui: 18-07-2024
Referensi:
CVE-2023-52620
Update 18-07-2024: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE.
GKE
Diperbarui: 18-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-029
Dipublikasikan: 14-05-2024
Referensi:
CVE-2024-26642
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-028
Dipublikasikan: 13-05-2024
Diperbarui: 22-05-2024
Referensi:
CVE-2024-26581
Update 22-05-2024: Menambahkan versi patch untuk node Ubuntu.
GKE
Diperbarui: 22-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 22-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-027
Dipublikasikan: 08-05-2024
Diperbarui: 09-05-2024, 15-05-2024
Referensi:
CVE-2024-26808
Update 15-05-2024: Menambahkan versi patch untuk GKE Kumpulan node Ubuntu.
Update 09-05-2024: Koreksi tingkat keparahan dari Sedang menjadi Tinggi dan mengklarifikasi bahwa cluster Autopilot GKE dalam konfigurasi default tidak terdampak.
GKE
Diperbarui: 09-05-2024, 15-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang ke Tinggi.
Buletin aslinya menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 15-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-026
Dipublikasikan: 07-05-2024
Diperbarui: 09-05-2024
Referensi:
CVE-2024-26643
Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang menjadi Tinggi.
GKE
Diperbarui: 09-05-2024
Deskripsi | Keparahan |
---|---|
Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang menjadi Tinggi. Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-024
Dipublikasikan: 25-04-2024
Diperbarui: 18-07-2024
Referensi:
CVE-2024-26585
Update 18-07-2024: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE.
GKE
Diperbarui: 18-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-022
Dipublikasikan: 03-04-2024
Diperbarui: 17-07-2024
Referensi: CVE-2023-45288
Update 17-07-2024: Menambahkan versi patch untuk GKE pada VMware.
Update 09-07-2024: Menambahkan versi patch untuk GKE pada Bare Metal.
Update 24-04-2024: Menambahkan versi patch untuk GKE.
GKE
Diperbarui: 24-04-2024
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh. Cluster Standar dan Autopilot GKE terpengaruh. Apa yang harus saya lakukan?Update 24-04-2024: Menambahkan versi patch untuk GKE. Versi GKE berikut mencakup patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:
Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Lakukan mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:Anda dapat memitigasi cluster dari serangan semacam ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke bidang kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint bidang kontrol. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on VMware
Diperbarui: 17-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Update 17-07-2024: Menambahkan versi patch untuk GKE pada VMware. Versi GKE pada VMware berikut menyertakan kode untuk memperbaiki masalah ini kerentanan. Upgrade GKE pada cluster VMware Anda ke berikut ini versi atau yang lebih baru:
Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi VMware yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi AWS yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di Azure versi Azure yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on Bare Metal
Diperbarui: 09-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Update 09-07-2024: Menambahkan versi patch untuk GKE pada Bare Metal. Versi GKE pada Bare Metal berikut menyertakan kode untuk memperbaiki masalah ini kerentanan. Upgrade GKE Anda pada cluster Bare Metal ke versi atau yang lebih baru:
Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GCP-2024-018
Dipublikasikan: 12-03-2024
Diperbarui: 06-05-2024
Referensi:
CVE-2024-1085
Update 06-05-2024: Versi patch tambahan untuk GKE Ubuntu node pool dan menghapus elemen garis horizontal tambahan dari update 04-04-2024.
Update 04-04-2024: Versi minimum yang dikoreksi untuk Kumpulan node GKE Container-Optimized OS.
GKE
Diperbarui: 06-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 06-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru.
Update 04-04-2024: Koreksi versi minimum untuk kumpulan node GKE Container-Optimized OS. Versi GKE minimum yang berisi perbaikan OS yang Dioptimalkan untuk Container yang tercantum sebelumnya salah. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini pada Container-Optimized OS. Upgrade kumpulan node Container-Optimized OS Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-017
Dipublikasikan: 06-03-2024
Referensi:
CVE-2023-3611
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-014
Dipublikasikan: 26-02-2024
Referensi:
CVE-2023-3776
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-013
Dipublikasikan: 23-02-2024
Referensi:
CVE-2023-3610
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-012
Dipublikasikan: 20-02-2024
Referensi:
CVE-2024-0193
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-011
Dipublikasikan: 15-02-2024
Referensi:
CVE-2023-6932
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-010
Dipublikasikan: 14-02-2024
Diperbarui: 17-04-2024
Referensi:
CVE-2023-6931
Update 17-04-2024: Menambahkan versi patch untuk GKE pada VMware.
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 17-04-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Update 17-04-2024: Menambahkan versi patch untuk GKE di VMware. Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-008
Dipublikasikan: 12-02-2024
Referensi: CVE-2023-5528
GKE
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut. Cluster GKE Standard berjalan Windows Server node dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh. Cluster GKE Autopilot dan node pool GKE GKE Sandbox tidak terpengaruh karena mereka tidak mendukung {i>node<i} Windows Server. Apa yang harus saya lakukan?Pastikan apakah Anda menggunakan node Windows Server pada cluster: kubectl get nodes -l kubernetes.io/os=windows Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi eksploitasi yang kuat. Update cluster GKE dan kumpulan node ke versi yang di-patch. Tujuan versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool Windows Server Anda ke salah satu layanan GKE versi atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut. GKE pada cluster VMware yang berjalan Windows Server node dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh. Apa yang harus saya lakukan?Pastikan apakah Anda menggunakan node Windows Server pada cluster: kubectl get nodes -l kubernetes.io/os=windows Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi eksploitasi yang kuat. Mengupdate GKE pada cluster VMware dan node pool ke versi yang di-patch. Tujuan versi GKE di VMware berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual kumpulan node cluster dan Windows Server Anda ke salah satu GKE berikut di VMware versi atau yang lebih baru:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut. GKE pada cluster AWS tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut. GKE pada cluster Azure tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut. GKE pada cluster Bare Metal tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GCP-2024-005
Dipublikasikan: 31-01-2024
Diperbarui: 06-05-2024
Referensi: CVE-2024-21626
Update 06-05-2024: Penambahan versi patch untuk GKE di AWS dan GKE di Azure.
Update 02-04-2024: Menambahkan versi patch untuk GKE pada Bare Metal
Update 06-03-2024: Menambahkan versi patch untuk GKE pada VMware
Update 28-02-2024: Menambahkan versi patch untuk Ubuntu
Pembaruan 15-02-2024: Mengklarifikasi bahwa versi patch Ubuntu 1.25 dan 1.26 di
Update 14-02-2024 dapat menyebabkan node tidak responsif.
Update 14-02-2024: Menambahkan versi patch untuk Ubuntu
Update 06-02-2024: Versi patch ditambahkan untuk OS yang Dioptimalkan untuk Container.
GKE
Diperbarui: 06-03-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Cluster GKE Standard dan Autopilot terpengaruh. Cluster menggunakan GKE Sandbox tidak terdampak. Apa yang harus saya lakukan?Update 28-02-2024: Versi GKE berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Update 15-02-2024: Karena masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak responsif. Larangan dan upgrade ke versi patch berikut. Kami akan memperbarui buletin ini ketika {i>patch<i} yang lebih baru versi untuk Ubuntu tersedia untuk 1.25 dan 1.26.
Jika Anda sudah meningkatkan ke salah satu versi {i>patch<i} ini, downgrade secara manual kumpulan node Anda ke versi sebelumnya di saluran rilis. Update 14-02-2024: Versi GKE berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Update 06-02-2024: Versi GKE berikut memiliki telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool Container-Optimized OS Anda ke salah satu Versi GKE atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. Kami mengupdate GKE dengan kode untuk memperbaiki kerentanan ini. Kita akan memperbaruinya buletin ketika versi tambalan tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on VMware
Diperbarui: 06-03-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-03-2024: Versi GKE pada VMware berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
Versi patch dan penilaian tingkat keparahan untuk GKE pada VMware sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on AWS
Diperbarui: 06-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-05-2024: Versi GKE di AWS berikut memiliki telah diupdate dengan patch untuk CVE-2024-21626:
Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on Azure
Diperbarui: 06-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-05-2024: Versi GKE berikut di Azure memiliki telah diupdate dengan patch untuk CVE-2024-21626:
Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on Bare Metal
Diperbarui: 02-04-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 02-04-2024: Versi GKE pada Bare Metal berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
Versi patch dan penilaian tingkat keparahan untuk GKE pada Bare Metal sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GCP-2024-004
Dipublikasikan: 24-01-2024
Diperbarui: 07-02-2024
Referensi:
CVE-2023-6817
Update 07-02-2024: Menambahkan versi patch untuk Ubuntu.
GKE
Diperbarui: 07-02-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 07-02-2024: Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-003
Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024
Update 26-01-2024: Mengklarifikasi jumlah cluster yang terpengaruh dan tindakan yang
yang kami ambil untuk membantu
mengurangi dampaknya.
GKE
Diperbarui: 26-01-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 26-01-2024: Riset keamanan yang menemukan sejumlah kecil
Cluster GKE dengan kesalahan konfigurasi yang dibuat pelanggan dan melibatkan
grup Kami telah mengidentifikasi beberapa cluster di mana pengguna memberikan izin pada Kubernetes
hak istimewa ke grup Baru-baru ini, peneliti keamanan melaporkan temuan klaster dengan RBAC kesalahan konfigurasi melalui program pelaporan kerentanan kami. Pendekatan Google terhadap otentikasi adalah
melakukan otentikasi ke Google Cloud dan
GKE sesederhana dan seaman mungkin tanpa menambahkan langkah konfigurasi yang kompleks.
Authentication hanya memberi tahu kita siapa penggunanya; Otorisasi adalah
di mana akses ditentukan. Jadi grup Dengan mengingat hal ini, kami telah mengambil beberapa
langkah untuk mengurangi risiko pengguna
membuat error otorisasi dengan pengguna bawaan Kubernetes dan
grup, termasuk Untuk melindungi pengguna dari error otorisasi yang tidak disengaja dengan sistem ini pengguna/grup, kami memiliki:
Cluster yang menerapkan izin diotorisasi
jaringan memiliki lapisan pertahanan pertama: tidak dapat diserang
langsung dari internet. Tapi kami tetap menyarankan
menghapus binding ini untuk
pertahanan yang mendalam dan untuk
menjaga dari kesalahan dalam kontrol jaringan. Kami sedang menyelidiki berbagai cara untuk memberikan perlindungan lebih lanjut terhadap pengguna RBAC kesalahan konfigurasi pengguna/grup sistem ini melalui tindakan pencegahan dan deteksi. Apa yang harus saya lakukan?Untuk mencegah binding baru dari Binding yang ada harus ditinjau mengikuti panduan ini. |
Sedang |
GKE on VMware
Tidak ada pembaruan saat ini.
GKE on AWS
Tidak ada pembaruan saat ini.
GKE on Azure
Tidak ada pembaruan saat ini.
GKE on Bare Metal
Tidak ada pembaruan saat ini.
GCP-2024-002
Dipublikasikan: 17-01-2024
Diperbarui: 20-02-2024
Referensi:
CVE-2023-6111
Update 20-02-2024: Menambahkan versi patch untuk GKE di VMware.
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 20-02-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan?Update 20-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100 |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-051
Dipublikasikan: 28-12-2023
Referensi:
CVE-2023-3609
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-050
Dipublikasikan: 27-12-2023
Referensi:
CVE-2023-3389
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-049
Dipublikasikan: 20-12-2023
Referensi:
CVE-2023-3090
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. GKE
Cluster Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin
rentan jika Anda secara eksplisit menetapkan
profil Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-048
Dipublikasikan: 15-12-2023
Diperbarui: 21-12-2023
Referensi:
CVE-2023-3390
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-047
Dipublikasikan: 14-12-2023
GKE
Deskripsi | Keparahan |
---|---|
Penyerang yang telah menyusupi kontainer {i>logging<i} Fluent Bit dapat menggabungkan akses dengan hak istimewa tinggi yang diperlukan Cloud Service Mesh (pada cluster yang memiliki mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah terkait Fluent Bit dan Cloud Service Mesh telah dimitigasi dan perbaikannya kini tersedia. Kerentanan ini tidak dapat dieksploitasi secara mandiri di GKE dan memerlukan penyusupan awal. Kami tidak mengetahui adanya eksploitasi kerentanan ini. Masalah ini dilaporkan melalui Vulnerability Reward Program. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Fluent Bit dan bagi pengguna Cloud Service Mesh terkelola. Sebagai keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool ke salah satu versi GKE berikut atau nanti:
Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda dapat mengamankan {i>node<i} Anda hingga versi baru menjadi {i>default<i} untuk saluran rilis Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Kerentanan apa yang ditangani oleh patch ini? Kerentanan yang ditangani oleh buletin ini membutuhkan penyerang untuk menyusupi Container logging Fluent Bit. Kami tidak mengetahui adanya kerentanan di Fluent Bit yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah potensi serangan penuh pada masa mendatang GKE menggunakan Fluent Bit untuk memproses log bagi workload yang berjalan di cluster. Fluent Bit di GKE juga dikonfigurasi untuk mengumpulkan log untuk workload Cloud Run. Pemasangan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Akses Fluent Bit ke token akun layanan Kubernetes untuk Pod lain yang berjalan di {i>node<i}. Peneliti menggunakan akses ini untuk menemukan akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Cloud Service Mesh. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Tujuan peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster Kami telah menghapus akses Fluent Bit ke token akun layanan dan memiliki mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebih. |
Sedang |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Hanya GKE pada cluster VMware yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Rab tidak menyadari adanya kerentanan yang akan menyebabkan prasyarat kondisi untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai pengerasan langkah-langkah untuk mencegah potensi rantai serangan penuh di masa depan. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna. |
Sedang |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Hanya GKE pada cluster AWS yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus upgrade manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah kemungkinan terjadinya rantai serangan penuh di masa depan. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna. |
Sedang |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Hanya GKE pada cluster Azure yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus upgrade manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini dengan langkah-langkah pengerasan untuk mencegah kemungkinan rantai serangan penuh di masa depan. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna. |
Sedang |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Hanya GKE pada cluster Bare Metal yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah kemungkinan terjadinya rantai serangan penuh di masa depan. Anthos Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna. |
Sedang |
GCP-2023-046
Dipublikasikan: 22-11-2023
Diperbarui: 04-03-2024
Referensi:
CVE-2023-5717
Update 04-03-2024: Penambahan versi GKE untuk GKE pada VMware.
Update 22-01-2024: Menambahkan versi patch Ubuntu.
GKE
Diperbarui: 22-01-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 22-01-2024: Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 29-02-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Update 04-03-2024: Versi GKE di VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
|
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-045
Dipublikasikan: 20-11-2023
Diperbarui: 21-12-2023
Referensi:
CVE-2023-5197
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-042
Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023
Referensi:
CVE-2023-4147
Update 15-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch terkait untuk GKE.
GKE
Diperbarui: 15-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster Autopilot GKE tidak terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang di-patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut dalam node Anda. Misalnya, jika menggunakan GKE versi 1.27, Anda harus mengupgradenya ke patch . Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu melakukan upgrade ke versi yang telah di-patch. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi yang di-patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-041
Dipublikasikan: 08-11-2023
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Referensi:
CVE-2023-4004
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
Update 05-12-2023: Penambahan versi GKE tambahan untuk node pool OS yang Dioptimalkan untuk Container.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar terbaru versi GKE yang dapat Anda update Container-Optimized OS untuk:
Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-040
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4921
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-039
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 16-11-2023
Referensi:
CVE-2023-4622
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan di buletin keamanan versi sebelumnya.
GKE
Diperbarui: 21-11-2023, 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Diperbarui: 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Diperbarui: 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Diperbarui: 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Diperbarui: 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-038
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4623
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-037
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4015
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-035
Dipublikasikan: 26-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tinggi |
GCP-2023-033
Dipublikasikan: 24-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-3777
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.
Update 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox akan terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
GCP-2023-030
Dipublikasikan: 10-10-2023
Diperbarui: 20-03-2024
Referensi: CVE-2023-44487CVE-2023-39325
Update 20-03-2024: Versi patch tambahan untuk GKE di AWS dan GKE di Azure
Update 14-02-2024: Versi patch tambahan
untuk GKE di VMware
Update 09-11-2023: Menambahkan CVE-2023-39325. Versi GKE yang diupdate
dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.
GKE
Diperbarui: 09-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh. Apa yang harus saya lakukan?Update 09-11-2023: Kami telah merilis versi baru GKE yang mencakup patch keamanan Go dan Kubernetes, yang dapat dapat memperbarui cluster Anda sekarang. Dalam beberapa minggu mendatang, kami akan merilis perubahan pada bidang kontrol GKE untuk memitigasi masalah ini lebih lanjut. Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:
Sebaiknya terapkan mitigasi berikut sesegera mungkin dan upgrade ke versi terbaru yang di-patch jika tersedia. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang perlu diupgrade ke bidang kontrol, dan juga membuat patch terlihat dalam postur keamanan GKE jika tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, aktifkan notifikasi cluster. Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Kurangi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol: Anda dapat menambahkan jaringan resmi untuk cluster yang ada. Untuk mempelajari lebih lanjut, izinkan jaringan untuk cluster yang ada. Selain jaringan resmi yang Anda tambahkan, terdapat alamat IP yang telah ditetapkan sebelumnya yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint bidang kontrol. Item berikut meringkas isolasi cluster:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol GKE. |
Tinggi |
GKE on VMware
Diperbarui: 14-02-2024
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 14-02-2024: Versi GKE berikut di VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke cluster berikut versi patch atau yang lebih baru:
Jika Anda telah mengonfigurasi GKE pada cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 20-03-2024: GKE pada versi AWS berikut telah diupdate dengan patch untuk CVE-2023-44487:
Jika Anda telah mengonfigurasi GKE di AWS untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 20-03-2024: GKE pada versi Azure berikut telah diupdate dengan patch untuk CVE-2023-44487:
Jika Anda telah mengonfigurasi GKE di cluster Azure untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. Anthos di Bare Metal membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Jika Anda telah mengonfigurasi Anthos di cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE pada Bare Metal. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GCP-2023-026
Dipublikasikan: 06-09-2023
Referensi: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Cluster GKE hanya terpengaruh jika menyertakan node Windows. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami merekomendasikan agar Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Bidang kontrol GKE akan diperbarui pada minggu 04-09-2023 untuk memperbarui
csi-proxy ke versi 1.1.3. Jika Anda memperbarui node
sebelum memperbarui bidang kontrol,
Anda harus memperbarui {i>node<i} Anda lagi setelah pembaruan untuk memanfaatkan
{i>proxy<i}. Anda dapat memperbarui node lagi, bahkan tanpa mengubah versi node, dengan menjalankan
perintah Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk konfigurasi saluran rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan tidak lolos operasi ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian {i>string<i} sebagai perintah terpisah. Perintah-perintah ini akan berjalan dengan alamat jaringan istimewa seperti yang dimiliki Kubelet. Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin akses yang sama dengan agen Kubelet, izin akses istimewa. Dengan CVE-2023-3893, kurangnya sanitasi input yang sama memungkinkan pengguna yang dapat membuat Pod di Node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut. Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Buah membuat peristiwa dengan perintah PowerShell yang tertanam merupakan indikasi kuat eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell yang tertanam dan dipasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Cluster hanya akan terpengaruh jika menyertakan node Windows. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan tidak lolos operasi ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian {i>string<i} sebagai perintah terpisah. Perintah-perintah ini akan berjalan dengan alamat jaringan istimewa seperti yang dimiliki Kubelet. Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin akses yang sama dengan agen Kubelet, izin akses istimewa. Dengan CVE-2023-3893, kurangnya sanitasi input yang sama memungkinkan pengguna yang dapat membuat Pod di Node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut. Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Buah membuat peristiwa dengan perintah PowerShell yang tertanam merupakan indikasi kuat eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell yang tertanam dan dipasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-018
Dipublikasikan: 27-06-2023
Referensi: CVE-2023-2235
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster Autopilot GKE terpengaruh karena node GKE Autopilot selalu menggunakan image node OS yang Dioptimalkan untuk Container. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node OS yang Dioptimalkan untuk Container akan terpengaruh. Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum versi 1.25, atau menggunakan GKE Sandbox. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh. Apa yang harus saya lakukan?Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-017
Dipublikasikan: 26-06-2023
Diperbarui: 11-07-2023
Referensi: CVE-2023-31436
Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang menambal CVE-2023-31436.
GKE
Diperbarui: 11-07-2023
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 11-07-2023: Versi patch Ubuntu tersedia. Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru versi yang membuat patch CVE-2023-31436:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh. Apa yang harus saya lakukan?Kerentanan apa yang sedang ditangani?Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-016
Dipublikasikan: 26-06-2023
Referensi:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
CVE-2023-27491,
CVE-2023-27487
GKE
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh (ASM). Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE tidak dikirim dengan ASM dan tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002. |
Tidak ada |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang dalam Cloud Service Mesh di GKE pada VMware, yang memungkinkan penyerang berbahaya menyebabkan {i>denial of service<i} atau {i>error<i} Envoy. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kita ingin memastikan bahwa Pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan terekspos, aktor dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error. CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan. CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti sertifikat peer SAN. CVE-2023-27492: Penyerang dapat mengirim isi permintaan besar untuk rute yang memiliki filter Lua dan memicu error. CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus ke memicu kesalahan penguraian pada layanan upstream HTTP/1.
CVE-2023-27487: Header |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE di AWS tidak dikirim dengan ASM dan tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE di Azure tidak dikirim dengan ASM dan tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang untuk menyebabkan {i>denial of service<i} atau membuat {i>error<i} Envoy. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kita ingin memastikan bahwa Pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM. Apa yang harus saya lakukan?Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade admin dan cluster pengguna Anda untuk salah satu GKE berikut pada versi Bare Metal:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan terekspos, aktor dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error. CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan. CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti sertifikat peer SAN. CVE-2023-27492: Penyerang dapat mengirim isi permintaan besar untuk rute yang memiliki filter Lua dan memicu error. CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus ke memicu kesalahan penguraian pada layanan upstream HTTP/1.
CVE-2023-27487: Header |
Tinggi |
GCP-2023-015
Dipublikasikan: 20-06-2023
Referensi: CVE-2023-0468
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Kerentanan apa yang sedang ditangani?Pada CVE-2023-0468, cacat use-after-free ditemukan di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Cacat ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi menyebabkan error sistem yang menyebabkan denial of service. |
Sedang |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}. GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}. GKE di Azure tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GCP-2023-014
Dipublikasikan: 15-06-2023
Diperbarui: 11-08-2023
Referensi: CVE-2023-2727, CVE-2023-2728
Update 11-08-2023: Penambahan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan GKE pada Bare Metal
GKE
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728). GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727. Semua versi GKE berpotensi rentan terhadap CVE-2023-2728.Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on VMware
Diperbarui: 11-08-2023
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727. Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728. Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan pengguna Anda ke salah satu versi GKE pada VMware berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on AWS
Diperbarui: 11-08-2023
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE berikut di versi AWS:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on Azure
Diperbarui: 11-08-2023
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE berikut di Azure:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on Bare Metal
Diperbarui: 11-08-2023
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Pembaruan 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GCP-2023-009
Dipublikasikan: 06-06-2023
Referensi: CVE-2023-2878
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meski GKE tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE di VMware tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE pada VMware tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE di AWS tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE di Azure tidak terpengaruh oleh CVE ini Apa yang harus saya lakukan?Meskipun GKE di Azure tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE pada Bare Metal tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GCP-2023-008
Dipublikasikan: 05-06-2023
Referensi: CVE-2023-1872
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini: Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini: Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2023-005
Dipublikasikan: 18-05-2023
Diperbarui: 06-06-2023
Referensi: CVE-2023-1281, CVE-2023-1829
Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829.
GKE
Diperbarui: 06-06-2023
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard terpengaruh. cluster dan cluster Autopilot GKE menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 06-06-2023: Versi patch Ubuntu tersedia. Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2023-003
Dipublikasikan: 11-04-2023
Diperbarui: 21-12-2023
Referensi: CVE-2023-0240,
CVE-2023-23586
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. Cluster GKE, termasuk cluster Autopilot, dengan COS menggunakan Kernel Linux versi 5.10 hingga 5.10.162 akan terpengaruh. Cluster GKE menggunakan Image Ubuntu atau penggunaan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami sebaiknya upgrade kumpulan node secara manual ke salah satu opsi berikut Versi GKE:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan 1 (CVE-2023-0240): Kondisi race di Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE pada cluster VMware dengan COS menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terdampak. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak akan terpengaruh. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan tersebut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan 1 (CVE-2023-0240): Kondisi race di Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE di Azure tidak terpengaruh oleh CVE ini Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2023-001
Dipublikasikan: 01-03-2023
Diperbarui: 21-12-2023
Referensi: CVE-2022-4696
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
GKE
Deskripsi | Keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. Cluster GKE, yang meliputi Cluster Autopilot, terdampak. Cluster GKE menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami sebaiknya Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di {i>kernel<i} Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE pada VMware yang menjalankan v1.12 dan v1.13 akan terpengaruh. GKE pada VMware yang menjalankan v1.14 atau yang lebih baru tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di {i>kernel<i} Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE di Azure tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2022-026
Dipublikasikan: 11-01-2023
Referensi: CVE-2022-3786, CVE-2022-3602
GKE
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}. Meskipun mendapatkan rating Tinggi di NVD endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga rating telah dikurangi menjadi Medium untuk GKE. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan:
Fitur terbaru dari rilis channel memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk merilis saluran tertentu. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3786 dan CVE-2022-3602, buffer overrun dapat dipicu di sertifikat X.509 verifikasi yang dapat menyebabkan {i>crash<i} yang akan mengakibatkan penolakan layanan. Untuk menjadi dieksploitasi, kerentanan ini membutuhkan CA untuk menandatangani sertifikat berbahaya atau agar aplikasi melanjutkan verifikasi sertifikat meskipun terjadi kegagalan dalam membangun jalur ke penerbit tepercaya. |
Sedang |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}. Apa yang harus saya lakukan?GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Tindakan tidak diperlukan. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Tindakan tidak diperlukan. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Tindakan tidak diperlukan. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}. Apa yang harus saya lakukan?GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2022-025
Dipublikasikan: 21-12-2022
Diperbarui: 19-01-2023, 21-12-2023
Referensi: CVE-2022-2602
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
GKE
Diperbarui: 19-01-2023
Deskripsi | Keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, juga terdampak. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda memiliki node mengaktifkan upgrade otomatis, sebaiknya Anda upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer. Versi 1.11, 1.12, dan 1.13 GKE di VMware terpengaruh. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. Versi berikut dari GKE pada VMware berisi kode yang memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer. Apa yang harus saya lakukan?GKE versi saat ini dan generasi sebelumnya di AWS telah memperbarui dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi AWS berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer. Apa yang harus saya lakukan?Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak dipaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2022-024
Dipublikasikan: 09-11-2022
Diperbarui: 19-01-2023
Referensi: CVE-2022-2585, CVE-2022-2588
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
Update 16-12-2022: Menambahkan versi patch yang direvisi untuk GKE dan
GKE di VMware.
GKE
Diperbarui: 19-01-2023
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Cluster GKE, termasuk cluster Autopilot, juga terdampak. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Update 16-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Memohon upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebagai keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda secara manual upgrade kumpulan node Anda ke salah satu versi GKE berikut:
Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia. Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on VMware
Diperbarui: 16-12-2022
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Versi 1.13, 1.12, dan 1.11 dari GKE di VMware terpengaruh. Apa yang harus saya lakukan?Pembaruan 16-12-2022: Versi berikut dari GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Saran dari kami Anda mengupgrade cluster admin dan pengguna ke salah satu dari GKE pada versi VMware:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Versi Kubernetes berikut di AWS mungkin terpengaruh:
Kubernetes V1.24 tidak terpengaruh. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus. Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Versi Kubernetes berikut di Azure mungkin terpengaruh:
Kubernetes V1.24 tidak terpengaruh. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus. Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2022-023
Dipublikasikan: 04-11-2022
Referensi: CVE-2022-39278
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol. Apa yang harus saya lakukan?Google Kubernetes Engine (GKE) tidak dijual dengan Istio dan tidak terpengaruh oleh kerentanan. Namun, jika Anda telah menginstal Cloud Service Mesh atau Istio secara terpisah pada cluster GKE, lihat GCP-2022-020, buletin keamanan Cloud Service Mesh tentang CVE ini, untuk informasi selengkapnya. |
Tidak ada |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh di GKE pada VMware, yang memungkinkan penyerang berbahaya membuat error Bidang kontrol Istio. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh kerentanan ini dan tidak ada tindakan yang tidak diperlukan. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh pada GKE pada Bare Metal, yang memungkinkan penyerang berbahaya untuk menabrak bidang kontrol Istio. Apa yang harus saya lakukan?Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade cluster ke salah satu berikut GKE pada versi Bare Metal:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, |
Tinggi |
GCP-2022-022-updated
Dipublikasikan: 08-12-2022
Referensi: CVE-2022-20409
GKE
Diperbarui: 14-12-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24 cluster, termasuk cluster Autopilot, menggunakan Container-Optimized OS versi 93 dan 97 akan terdampak. Lainnya yang didukung Versi GKE tidak terpengaruh. Cluster GKE menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 14-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Memohon upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:
Versi GKE berikut yang menggunakan versi Container-Optimized OS 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:
Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis saluran TV Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tinggi |
GKE on VMware
Diperbarui: 14-12-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Apa yang harus saya lakukan?Pembaruan 14-12-2022: Versi berikut dari GKE di VMware untuk Ubuntu telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di VMware berikut versi:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi {i>kernel<i} Linux. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi yang terpengaruh dari {i>kernel<i} Linux. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Apa yang harus saya lakukan?
|
Tidak ada |
GCP-2022-021
Dipublikasikan: 27-10-2022
Diperbarui: 19-01-2023, 21-12-2023
Referensi: CVE-2022-3176
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
Pembaruan 15-12-2022: Memperbarui informasi tentang versi 1.21.14-gke.9400
Google Kubernetes Engine menunggu peluncuran dan mungkin digantikan oleh nomor versi yang lebih tinggi.
Update 21-11-2022: Menambahkan versi patch untuk
GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 19-01-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk container penuh ke root pada node. Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster Google Kubernetes Engine (GKE) v1.21, termasuk cluster Autopilot, menggunakan Container-Optimized OS versi 89 akan terpengaruh. GKE versi terbaru tidak terpengaruh. Semua cluster Linux dengan Ubuntu akan terpengaruh. Cluster GKE menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Update 15-12-2022: Versi 1.21.14-gke.9400 menunggu peluncuran dan mungkin akan digantikan oleh nomor versi yang lebih tinggi. Kami akan memperbarui dokumen ini saat versi baru tersebut yang tersedia. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda memiliki node mengaktifkan upgrade otomatis, sebaiknya Anda upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:
Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis saluran TV Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses resmi. |
Tinggi |
GKE on VMware
Diperbarui: 21-11-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk container penuh ke root pada node. Apa yang harus saya lakukan?
Pembaruan 21-11-2022: Versi berikut dari GKE di VMware untuk Ubuntu telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:
Versi GKE pada VMware yang berisi patch Ubuntu akan dirilis segera. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses resmi. |
Tinggi |
GKE on AWS
Diperbarui: 21-11-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk untuk mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?Update 21-11-2022: GKE versi saat ini dan generasi sebelumnya di AWS telah memperbarui dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS: Generasi saat ini
Versi GKE di AWS yang berisi patch Ubuntu akan dirilis segera. Buletin keamanan ini akan diperbarui saat GKE pada versi AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses resmi. |
Tinggi |
GKE on Azure
Diperbarui: 21-11-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk untuk mencapai perincian container penuh ke root pada node. Apa yang harus saya lakukan?Update 21-11-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:
Versi GKE di Azure yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Linux Kernel memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi akses resmi. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk container penuh ke root pada node. Apa yang harus saya lakukan?Tindakan tidak diperlukan. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-018
Dipublikasikan: 01-08-2022
Diperbarui: 14-09-2022, 21-12-2023
Referensi: CVE-2022-2327
Update 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot di konfigurasi default tidak akan terpengaruh.
Update 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di Kernel Linux yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node. Detail teknisPembaruan 21-12-2023: Buletin asli menyatakan Autopilot
cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE
cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit mengatur
profil {i>seccomp Unconfined<i} atau
izinkan Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS (COS) menggunakan Linux Kernel versi 5.10 akan terpengaruh. Cluster GKE menggunakan image Ubuntu atau menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Upgrade cluster GKE Anda ke versi yang menyertakan perbaikan.
Image node Linux untuk COS telah diupdate bersama dengan GKE
menggunakan versi COS tersebut.
Fitur terbaru rilis saluran memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari sebuah saluran. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, {i>kernel<i} Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan jenis item tidak ada (flag). Menggunakan permintaan ini tanpa jenis item yang ditentukan dapat menyebabkan eskalasi akses ke root. |
Tinggi |
GKE on VMware
Diperbarui: 14-09-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di Linux {i>kernel<i} yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node. Cluster dengan image Container Optimized OS (COS) menggunakan GKE pada versi VMware 1.10, 1.11, dan 1.12 akan terpengaruh. Apa yang harus saya lakukan?Pembaruan 14-09-2022: Versi berikut dari GKE pada VMware berisi kode yang memperbaiki kerentanan ini.
Versi GKE di VMware yang berisi patch akan dirilis segera. Buletin keamanan ini akan diperbarui saat GKE pada VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, {i>kernel<i} Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan jenis item tidak ada (flag). Menggunakan permintaan ini tanpa jenis item yang ditentukan dapat menyebabkan eskalasi akses ke root. |
Tinggi |
GKE on AWS
Diperbarui: 14-09-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di Linux {i>kernel<i} yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node. Apa yang harus saya lakukan?Pembaruan 14-09-2022: Pembaruan saat ini dan GKE pada AWS versi generasi sebelumnya telah memperbarui dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade node Anda ke salah satu GKE berikut di AWS versi: Generasi saat ini
Generasi sebelumnya
Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, {i>kernel<i} Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan jenis item tidak ada (flag). Menggunakan permintaan ini tanpa jenis item yang ditentukan dapat menyebabkan eskalasi akses ke root. |
Tinggi |
GKE on Azure
Diperbarui: 14-09-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di Linux {i>kernel<i} yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node. Apa yang harus saya lakukan?Pembaruan 14-09-2022: Versi berikut dari GKE di Azure telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi Azure:
Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, {i>kernel<i} Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan jenis item tidak ada (flag). Menggunakan permintaan ini tanpa jenis item yang ditentukan dapat menyebabkan eskalasi akses ke root. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di Linux {i>kernel<i} yang dapat menyebabkan eskalasi akses lokal. Ini kerentanan memungkinkan pengguna tanpa hak istimewa untuk mencapai container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusi. |
Tidak ada |
GCP-2022-017
Dipublikasikan: 29-06-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-1786
Update 22-11-2022: Informasi terbaru tentang workload menggunakan GKE Sandbox.
Update 21-07-2022: Memperbarui informasi tentang image GKE COS VMware
terdampak.
GKE
Diperbarui: 22-11-2022
Deskripsi | Keparahan |
---|---|
Pembaruan 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Hanya cluster yang menjalankan Container-Optimized OS akan terpengaruh. Versi GKE Ubuntu menggunakan versi 5.4 atau 5.15 dari kernel dan tidak terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk Container-Optimized OS untuk GKE telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebagai untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade node secara manual gabungan ke salah satu versi GKE mendatang berikut ini:
Fitur saluran rilis terbaru memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari sebuah saluran. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut akan menjadi default di saluran rilis yang Anda pilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-1786, cacat use-after-free ditemukan pada io_uring kernel Linux subsistem. Jika pengguna menyiapkan lingkaran dengan IORING_SETUP_IOPOLL dengan lebih dari satu tugas menyelesaikan pengiriman pada ring, pengguna lokal dapat mengalami error atau mengeskalasikan hak istimewa mereka pada sistem. |
Tinggi |
GKE on VMware
Diperbarui: 14-07-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Apa yang harus saya lakukan?Update 21-07-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini. COS
UbuntuAnda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster untuk mencapai pengelompokan container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-016
Dipublikasikan: 23-06-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
Update 22-11-2022: Menambahkan informasi tentang workload yang berjalan di cluster Autopilot.
Update 29-07-2022: Versi terbaru untuk GKE pada VMware,
GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 22-11-2022
Deskripsi | Keparahan |
---|---|
Pembaruan 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116. Pembaruan 29-07-2022: Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Semua cluster Linux (OS yang Dioptimalkan untuk Container dan Ubuntu) akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk Container-Optimized OS dan Ubuntu untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node Anda ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root. |
Tinggi |
GKE on VMware
Diperbarui: 29-07-2022
Deskripsi | Keparahan |
---|---|
Pembaruan 29-07-2022: Versi berikut dari GKE pada VMware berisi kode yang memperbaiki kerentanan ini.
Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi GKE pada VMware v1.9 dan yang lebih baru untuk image Container-Optimized OS dan Ubuntu. Apa yang harus saya lakukan?Versi GKE pada VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root. |
Tinggi |
GKE on AWS
Diperbarui: 29-07-2022
Deskripsi | Keparahan |
---|---|
Update 29-07-2022: Update: GKE versi saat ini dan sebelumnya di AWS telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Rab sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi AWS: Generasi saat ini:
Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi semua versi GKE di AWS. Apa yang harus saya lakukan?Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di versi AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Update 29-07-2022: Update: Versi GKE berikut di Azure telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Rab sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:
Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Kerentanan ini memengaruhi semua versi GKE di Azure. Apa yang harus saya lakukan?Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan di mana penyerang lokal dapat menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk meningkatkan hak istimewa ke root. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Tiga kerentanan korupsi memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa yang memiliki akses lokal ke cluster, untuk melakukan perincian container penuh ke root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-014
Dipublikasikan: 26-04-2022
Diperbarui: 22-11-2022
Update 22-11-2022: Menambahkan informasi tentang workload yang berjalan di cluster Autopilot.
Update 12-05-2022: Versi patch yang diupdate untuk GKE pada AWS dan
GKE di Azure.
Referensi: CVE-2022-1055, CVE-2022-27666
GKE
Diperbarui: 22-11-2022
Deskripsi | Keparahan |
---|---|
Pembaruan 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh oleh kerentanan ini. Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE mendatang berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. GKE pada versi VMware berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on AWS
Diperbarui: 12-05-2022
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Pembaruan 12-05-2022: GKE versi saat ini dan generasi sebelumnya di AWS telah memperbarui kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS: Generasi saat ini
Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on Azure
Diperbarui: 12-05-2022
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Pembaruan 12-05-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan tersebut. Sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:
Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap langkah tersebut dapat menyebabkan penyerang lokal dapat melakukan perincian container, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-1055 dan CVE-2022-27666. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2022-013
Dipublikasikan: 11-04-2022
Diperbarui: 20-04-2022
Referensi: CVE-2022-23648
Update 22-04-2022: Versi patch yang diupdate untuk Google Distributed Cloud Virtual untuk Bare Metal dan GKE di VMware.
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu) yang menggunakan container secara default. Semua node GKE, Autopilot, dan GKE Sandbox akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual node Anda ke salah satu versi GKE berikut:
Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu. |
Sedang |
GKE on VMware
Diperbarui: 22-04-2022
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua GKE di VMware yang mengaktifkan stackdriver, yang menggunakan containerd. GKE pada VMware versi 1.8, 1.9, dan 1.10 terpengaruh Apa yang harus saya lakukan?Update 22-04-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.
Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE pada VMware berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE pada versi AWS terpengaruh. Apa yang harus saya lakukan?Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS. GKE di AWS (generasi saat ini)
GKE di AWS (generasi sebelumnya)
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE di versi Azure terpengaruh. Apa yang harus saya lakukan?Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda sebagai berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
Google Distributed Cloud Virtual untuk Bare Metal
Diperbarui: 22-04-2022
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd atas path traversal dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer pada host. Kerentanan ini dapat mengabaikan setiap penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua Google Distributed Cloud Virtual for Bare Metal yang menggunakan container. Google Distributed Cloud Virtual untuk Bare Metal versi 1.8, 1.9, dan 1.10 akan terpengaruh Apa yang harus saya lakukan?Update 22-04-2022: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut berisi kode yang memperbaiki kerentanan ini.
Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GCP-2022-012
Dipublikasikan: 07-04-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-0847
Update 22-11-2022: Informasi terbaru tentang workload menggunakan GKE Sandbox.
GKE
Diperbarui: 22-11-2022
Deskripsi | Keparahan |
---|---|
Pembaruan 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa container ke root. Kerentanan ini memengaruhi semua node pool GKE versi v1.22 dan yang lebih baru yang menggunakan image OS yang Dioptimalkan untuk Container (Container-Optimized OS 93 dan yang lebih baru). Kumpulan node GKE yang menggunakan OS Ubuntu tidak terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Demi keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual kumpulan node ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan versi patch dari saluran rilis lainnya tanpa harus berhenti berlangganan dari sebuah saluran. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, "flag" anggota struktur buffer pipa baru tidak memiliki inisialisasi yang tepat pada kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka. Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke GKE versi node pool yang telah diupdate. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi GKE di VMware v1.10 untuk image OS yang Dioptimalkan untuk Container. Saat ini, GKE di VMware dengan Ubuntu menggunakan kernel versi 5.4 dan tidak rentan terhadap serangan ini. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke versi GKE pada VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, "flag" anggota struktur buffer pipa baru tidak memiliki inisialisasi yang tepat pada kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka. Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi terbaru GKE di VMware. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster GKE terkelola pada AWS v1.21 dan cluster yang berjalan di GKE pada AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk GKE terkelola di AWS, sebaiknya Anda mengupgrade cluster pengguna dan node pool ke salah satu versi berikut:
Untuk GKE k-lite di AWS, sebaiknya upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool ke versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, "flag" anggota struktur buffer pipa baru tidak memiliki inisialisasi yang tepat pada kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster GKE terkelola di Azure v1.21 yang menggunakan Ubuntu. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade cluster pengguna dan node pool ke versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam kernel Linux versi 5.8. Dalam kerentanan ini, "flag" anggota struktur buffer pipa baru tidak memiliki inisialisasi yang tepat pada kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kelemahan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan meningkatkan hak istimewa mereka. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-0847. |
Tinggi |
GCP-2022-011
Dipublikasikan: 22-03-2022
Diperbarui: 11-08-2022
Update 11-08-2022: Menambahkan detail lebih lanjut tentang efek kesalahan konfigurasi SMT.
GKE
Deskripsi | Keparahan |
---|---|
Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang Konfigurasi Simultaneous Multi-Threading (SMT). SMT dimaksudkan untuk dinonaktifkan, namun diaktifkan pada versi yang tercantum. Jika Anda secara manual mengaktifkan SMT untuk kumpulan node dalam sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini. Ada kesalahan konfigurasi dengan Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Kesalahan konfigurasi membuat node berpotensi terekspos ke serangan side channel seperti Microarchitectural Data Sampling (MDS) (untuk konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:
Jika Anda mengaktifkan SMT untuk kumpulan node secara manual, masalah ini tidak akan memengaruhi node yang di-sandbox. Apa yang harus saya lakukan?Upgrade node Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Node GKE Sandbox menonaktifkan SMT secara default, sehingga memitigasi serangan side-channel. |
Sedang |
GCP-2022-009
Dipublikasikan: 01-03-2022
Diperbarui: 15-03-2022
GKE
Deskripsi | Keparahan |
---|---|
Update 15-03-2022: Penambahan panduan hardening untuk GKE pada AWS dan GKE di Azure. Menambahkan bagian tentang persistensi menggunakan webhook. Beberapa jalur tak terduga untuk mengakses VM node pada cluster Autopilot GKE dapat digunakan untuk mengeskalasikan hak istimewa di cluster. Masalah ini telah diperbaiki dan tidak perlu tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami. Pengguna cluster GKE Standard dan GKE dapat secara opsional menerapkan kebijakan hardening yang serupa seperti yang dijelaskan di bawah ini. Detail teknisAkses host menggunakan pengecualian kebijakan pihak ketigaAgar Google Cloud dapat menawarkan pengelolaan node secara penuh, dan SLA level Pod, GKE Autopilot membatasi beberapa primitif Kubernetes dengan hak istimewa tinggi untuk membatasi workload agar tidak memiliki akses level rendah ke VM node. Untuk menetapkan hal ini dalam konteks: GKE Standard memberikan akses penuh ke komputasi yang mendasarinya, Autopilot memberikan akses terbatas, dan Cloud Run tidak memberikan akses. Autopilot memberikan sedikit batasan terkait daftar alat pihak ketiga yang telah ditetapkan untuk memungkinkan pelanggan menjalankan alat tersebut dengan Autopilot tanpa modifikasi. Dengan menggunakan hak istimewa untuk membuat pod dengan penyangga jalur host, peneliti dapat menjalankan container dengan hak istimewa di pod yang terlihat seperti salah satu alat pihak ketiga yang telah masuk daftar yang diizinkan ini untuk mendapatkan akses ke host. Kemampuan untuk menjadwalkan pod dengan cara ini diharapkan ada di GKE Standard, tetapi tidak pada GKE Autopilot, karena cara ini mengabaikan pembatasan akses host yang digunakan untuk mengaktifkan SLA yang dijelaskan sebelumnya. Masalah ini telah diperbaiki dengan memperketat spesifikasi pod listingan yang diizinkan pihak ketiga. Eskalasi akses dari root-di-nodeSelain akses host, pod Kami telah menghentikan penggunaan dan menghapus Sebagai tindakan hardening sistem untuk mencegah jenis serangan ini di masa mendatang, kami akan menerapkan batasan Autopilot dalam rilis mendatang yang mencegah update pada akun layanan berbagai objek di namespace
Penambahan 15-03-2022: Persistensi menggunakan webhook bermutasiWebhook yang bermutasi digunakan dalam laporan ini untuk mendapatkan hak istimewa di cluster pasca-penyusupan. Bagian ini adalah bagian standar dari Kubernetes API yang dibuat oleh admin cluster, dan terlihat oleh administrator saat Autopilot menambahkan dukungan untuk webhook yang ditentukan pelanggan. Akun layanan dengan hak istimewa di namespace defaultPenegak kebijakan Autopilot sebelumnya telah mengizinkan dua akun layanan di namespace default: Apa yang harus saya lakukan?Kebijakan pada semua cluster Autopilot GKE telah diperbarui untuk menghapus akses host yang tidak diinginkan dan Anda tidak perlu melakukan tindakan lebih lanjut. Hardening kebijakan lebih lanjut akan diterapkan pada Autopilot dalam beberapa minggu mendatang sebagai perlindungan sekunder. Anda tidak perlu melakukan tindakan apa pun. Cluster GKE Standard dan cluster GKE tidak terpengaruh karena pengguna sudah memiliki akses ke host. Sebagai tindakan hardening sistem, cluster GKE Standard dan pengguna cluster GKE dapat menerapkan perlindungan serupa dengan kebijakan Gatekeeper yang mencegah modifikasi mandiri workload dengan hak istimewa. Untuk petunjuk, lihat panduan hardening berikut:
|
Rendah |
GCP-2022-008
Dipublikasikan: 23-02-2022
Diperbarui: 28-04-2022
Referensi:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE
Deskripsi | Keparahan |
---|---|
Project Envoy baru-baru ini menemukan serangkaian kerentanan, CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657, dan
CVE-2022-21656
yang dapat memengaruhi cluster GKE menggunakan Anthos Service Mesh,
Istio-on-GKE, atau deployment Istio kustom. Semua masalah yang tercantum di bawah telah diperbaiki dalam rilis Envoy 1.21.1. Latar Belakang Teknis Detail tambahan untuk kerentanan ini tersedia di sini. Apa yang harus saya lakukan?Cluster GKE yang menjalankan Anthos Service Mesh harus diupgrade ke versi yang didukung dengan perbaikan untuk kerentanan di atas
Cluster GKE yang menjalankan Istio-on-GKE harus diupgrade ke versi yang didukung versi dengan perbaikan pada kerentanan di atas
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, dan CVE-2022-21656 |
Tinggi |
GKE on VMware
Diperbarui: 28-04-2022
Deskripsi | Keparahan |
---|---|
Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. GKE di VMware merupakan
terkena dampak karena Envoy digunakan dengan metrik server. Tujuan
CVE yang akan kami perbaiki tercantum di bawah. Kami akan memperbaruinya
buletin dengan versi tertentu bila tersedia:
Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos aktif VMware terkena dampak karena Istio digunakan untuk traffic masuk. CVE Istio yang sedang kami perbaiki tercantum di bawah ini. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia: CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod error saat menerima permintaan dengan header `otorisasi` yang dibuat khusus.Untuk mengetahui deskripsi lengkap dan dampak dari CVE di atas, lihat ke keamanan buletin. 28-04-2022 Penambahan: Apa yang harus saya lakukan?Versi GKE pada VMware berikut dapat memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, dan CVE-2022-21656 |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. Anthos
pada Bare metal terkena dampak karena Envoy digunakan untuk server metrik.
CVE Envoy yang kami perbaiki di rilis 1.10.3, 1.9.6, dan 1.8.9 adalah
yang tercantum di bawah ini:
Untuk mengetahui deskripsi lengkap dan dampak dari CVE di atas, lihat kepada sistem keamanan buletin. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, dan CVE-2022-21656 |
Tinggi |
GCP-2022-006
Dipublikasikan: 14-02-2022
Diperbarui: 16-05-2022
Update 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini.
Update 12-05-2022: Versi patch yang diupdate untuk GKE,
Google Distributed Cloud Virtual untuk Bare Metal, GKE di VMware, dan GKE di AWS.
Memperbaiki masalah buletin keamanan untuk GKE pada AWS yang tidak
ditampilkan saat ditambahkan pada 23-02-2022.
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
ditemukan dalam fungsi Apa yang harus saya lakukan?Pembaruan 16-05-2022: Selain versi GKE yang disebutkan dalam update 12-05-2022, GKE versi 1.19.16-gke.7800 atau yang lebih baru juga berisi kode yang memperbaiki kerentanan ini. Pembaruan 12-05-2022: Versi GKE berikut berisi kode yang memperbaiki masalah ini kerentanan:
Pembaruan 15-02-2022: Pernyataan gVisor yang dikoreksi. Kerentanan ini ditemukan dalam
Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui bila semua itu tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
ditemukan dalam fungsi Apa yang harus saya lakukan?Pembaruan 12-05-2022: Versi GKE pada VMware berikut berisi kode yang memperbaiki masalah ini kerentanan. COS
Kerentanan ini ditemukan di {i> cgroup_release_agent_write<i} kernel Linux di {i>kernel/cgroup/cgroup-v1.c<i} dan dapat digunakan sebagai {i>breaking<i} kontainer. GKE pada VMware tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah batasan keamanan pada pod melalui modifikasi Pod atau securityContext container Misalnya, dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui jika yang tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
ditemukan dalam fungsi Apa yang harus saya lakukan?Pembaruan 12-05-2022: GKE versi saat ini dan sebelumnya di AWS berisi kode yang memperbaiki kerentanan ini: Generasi saat ini
Pembaruan 23-02-2022: Penambahan catatan untuk GKE di AWS. GKE di AWS generasi sebelumnya dan saat ini tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan keamanan batasan pada pod melalui modifikasi kolom Pod atau container securityContext, misalnya dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui jika yang tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GKE Enterprise di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
ditemukan dalam fungsi Apa yang harus saya lakukan?Pembaruan 12-05-2022: Versi GKE di Azure berikut berisi kode yang memperbaiki masalah ini kerentanan:
GKE di Azure tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan keamanan batasan pada pod melalui modifikasi kolom Pod atau container securityContext, misalnya dengan menonaktifkan/mengubah profil AppArmor. Hal ini tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui jika yang tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GCP-2022-005
Dipublikasikan: 11-02-2022Diperbarui: 15-02-2022
Referensi: CVE-2021-43527
GKE
Deskripsi | Keparahan |
---|---|
Update 15-02-2022: Beberapa versi GKE yang disebutkan dalam versi asli
digabungkan dengan perbaikan lainnya dan nomor versinya akan bertambah sebelum dirilis. Patch tersedia di GKE berikut
versi:
Kerentanan keamanan, CVE-2021-43527, telah ditemukan di biner apa pun yang tertaut ke versi rentan dari libnss3 yang ditemukan di versi NSS (Network Security Services) sebelum ke 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, X.509, Fungsi OCSP atau CRL dapat terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Keduanya Image GKE COS dan Ubuntu memiliki versi terinstal yang rentan, dan perlu di-patch. Berpotensi, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Serta aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS, X.509, OCSP, atau CRL lainnya fungsionalitas layanan mungkin terpengaruh. Dampak bergantung pada cara NSS digunakan/dikonfigurasi. GKE tidak menggunakan libnss3 untuk API yang dapat diakses melalui Internet. Dampaknya adalah terbatas pada kode pada host yang berjalan di luar container, dan berukuran kecil karena desainnya yang minimal Chrome OS. Kode GKE yang berjalan di dalam container menggunakan metode distroless image dasar tidak terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Tingkatkan bidang kontrol dan node Anda ke salah satu versi GKE berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan di biner apa pun yang tertaut ke versi rentan dari libnss3 yang ditemukan di versi NSS (Network Security Services) sebelum ke 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, X.509, Fungsi OCSP atau CRL mungkin terpengaruh, bergantung pada cara mereka mengonfigurasi NSS. Keduanya GKE pada image VMware COS dan Ubuntu memiliki versi rentan terinstal, dan perlu diberi patch. Berpotensi, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS\#7, atau PKCS \#12. Serta aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS, X.509, OCSP, atau CRL lainnya fungsionalitas layanan mungkin terpengaruh. Dampak bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Anthos aktif VMware tidak menggunakan libnss3 untuk API yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE untuk GKE di VMware ini dinilai sebagai Medium. Apa yang harus saya lakukan?Versi image node Linux untuk versi Anthos berikut telah diupdate kode untuk memperbaiki kerentanan ini. Tingkatkan bidang kontrol dan node Anda ke salah satu versi Anthos berikut:
Apakah Anda menggunakan GKE pada VMware versi yang lebih lama dari 1.18? Anda menggunakan Versi Anthos dari SLA dan sebaiknya upgrade ke salah satu versi yang didukung. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
GKE Enterprise di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan di biner apa pun yang tertaut ke versi rentan dari libnss3 yang ditemukan di versi NSS (Network Security Services) sebelum ke 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, X.509, Fungsi OCSP atau CRL dapat terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Anthos cluster pada image Azure Ubuntu memiliki versi kerentanan yang terinstal, dan harus di-patch. Berpotensi, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Serta aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS, X.509, OCSP, atau CRL lainnya fungsionalitas layanan mungkin terpengaruh. Dampak bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Cluster Anthos di Azure tidak menggunakan libnss3 untuk API yang dapat diakses secara publik, sehingga dampaknya dan tingkat keparahan CVE untuk Anthos di Azure ini dinilai sebagai Medium. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi Anthos di Azure berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
GCP-2022-004
Dipublikasikan: 04-02-2022Referensi: CVE-2021-4034
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Apa yang harus saya lakukan?GKE tidak terpengaruh karena modul rentan, policykit-1, tidak diinstal di image COS atau Ubuntu yang digunakan di GKE. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Konfigurasi default GKE Enterprise telah memberi pengguna "sudo" lengkap sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada Detail teknisAgar bug ini dapat dieksploitasi, penyerang membutuhkan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di VMware menyertakan versi policykit-1 pada image rilisnya, konfigurasi default GKE Enterprise sudah mengizinkan sudo tanpa sandi bagi siapa saja yang memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada VMware tidak terpengaruh. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
GKE di AWS tidak terpengaruh. Modul rentan, policykit-1, tidak diinstal di image Ubuntu yang digunakan oleh GKE versi saat ini dan sebelumnya di AWS. | Tidak ada |
GKE Enterprise di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket paket kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Konfigurasi default GKE Enterprise telah memberi pengguna "sudo" lengkap sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada Detail teknisAgar bug ini dapat dieksploitasi, penyerang membutuhkan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di Azure menyertakan versi policykit-1 pada image rilisnya, konfigurasi default GKE Enterprise mengizinkan sudo tanpa sandi untuk siapa saja yang memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak terpengaruh. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Google Distributed Cloud Virtual untuk Bare Metal mungkin terpengaruh bergantung pada paket yang diinstal di sistem operasi yang dikelola pelanggan. Pindai image OS Anda dan patch jika perlu. | Tidak ada |
GCP-2022-002
Dipublikasikan: 01-02-2022Diperbarui: 07-03-2022
Referensi: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Update 04-02-2022: Menambahkan bagian untuk GKE di AWS dan GKE di Azure. Menambahkan update peluncuran untuk GKE dan GKE pada VMware.
GKE
Diperbarui: 07-03-2022
Deskripsi | Keparahan |
---|---|
Tiga kerentanan keamanan, yaitu CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, ditemukan di {i>kernel<i} Linux, yang masing-masing dapat menyebabkan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan penampung ke simpul {i>host<i}. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan operasi tulis melebihi batas yang akan menyebabkan terobosan container. Jalur eksploitasi untuk kerentanan ini yang bergantung pada opsi "unshare" syscall adalah diblokir pada cluster GKE Autopilot secara default menggunakan pemfilteran seccomp. Pengguna yang memiliki profil seccomp runtime container default yang diaktifkan secara manual di cluster GKE Standard juga terlindungi. Apa yang harus saya lakukan?Update 07-03-2022:Versi image node Linux untuk resource berikut versi GKE telah diupdate dengan kode untuk memperbaiki semua kerentanan ini untuk image Ubuntu dan COS. Upgrade bidang kontrol dan node Anda ke salah satu opsi berikut Versi GKE.
Pembaruan 25-02-2022:Jika Anda menggunakan image node Ubuntu, 1.22.6-gke.1000 melakukan bukan alamat CVE-2021-22600. Kami akan memperbarui buletin ini dengan versi {i>patch<i} Ubuntu saat semua itu tersedia. Update 23-02-2022: Versi image node Linux untuk resource berikut versi GKE telah diupdate dengan kode untuk memperbaiki kerentanan tersebut. Upgrade cluster Anda ke salah satu versi GKE berikut.
Update 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari. Versi image node Linux untuk versi GKE berikut telah diupdate kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.
Versi 1.22 dan 1.23 juga sedang dalam proses. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Diperbarui: 23-02-2022
Deskripsi | Keparahan |
---|---|
Tiga kerentanan keamanan, yaitu CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, ditemukan di {i>kernel<i} Linux, yang masing-masing dapat menyebabkan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan penampung ke simpul {i>host<i}. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan operasi tulis melebihi batas yang akan menyebabkan terobosan container. Pengguna yang memiliki profil seccomp runtime container default yang diaktifkan secara manual di cluster GKE Standard juga terlindungi. Apa yang harus saya lakukan?Update 23-02-2022: versi 1.10.2 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185) kini dijadwalkan untuk 1 Maret. Update 23-02-2022: Menambahkan versi yang di-patch untuk CVE-2021-2260. Versi 1.10.1 tidak mengatasi CVE-2021-22600 tetapi mengatasi yang lain kerentanan. Versi 1.9.4 dan 1.10.2, keduanya belum dirilis, akan membahas CVE-2021-22600. Versi image node Linux untuk versi berikut dari GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster ke salah satu versi GKE pada VMware berikut:
Update 04-02-2022: Menambahkan informasi tentang image Ubuntu yang tidak ditangani CVE-2021-22600. Versi image node Linux untuk versi GKE pada VMware berikut ini memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu berikut GKE pada versi VMware:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Tiga kerentanan keamanan, yaitu CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, ditemukan di {i>kernel<i} Linux, yang masing-masing dapat menyebabkan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan penampung ke simpul {i>host<i}. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan operasi tulis melebihi batas yang akan menyebabkan terobosan container. Pengguna yang memiliki profil seccomp runtime container default yang diaktifkan secara manual di cluster GKE Standard juga terlindungi. Apa yang harus saya lakukan?GKE on AWSVersi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke GKE berikut di versi AWS:
GKE di AWS (generasi sebelumnya)Versi image node Linux untuk versi GKE berikut di AWS (generasi sebelumnya) telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut di AWS (generasi sebelumnya):
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE Enterprise di
Deskripsi | Keparahan |
---|---|
Tiga kerentanan keamanan, yaitu CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, ditemukan di {i>kernel<i} Linux, yang masing-masing dapat menyebabkan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE on AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit bebas ganda dalam paket_set_ring yang dapat menyebabkan penampung ke simpul {i>host<i}. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan operasi tulis melebihi batas yang akan menyebabkan terobosan container. Pengguna yang memiliki profil seccomp runtime container default yang diaktifkan secara manual di cluster GKE Standard juga terlindungi. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi GKE berikut di Azure:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2021-024
Dipublikasikan: 21-10-2021Referensi: CVE-2021-25742
GKE
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di ingress-nginx Kubernetes pengontrol, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token akun layanan ingress-nginx secret di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika Anda menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di ingress-nginx Kubernetes pengontrol, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token akun layanan ingress-nginx secret di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika Anda menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di ingress-nginx Kubernetes pengontrol, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token akun layanan ingress-nginx secret di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika Anda menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di ingress-nginx Kubernetes pengontrol, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token akun layanan ingress-nginx secret di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika Anda menggunakan ingress-nginx dalam deployment workload, Anda harus menyadari masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
GCP-2021-019
Dipublikasikan: 29-09-2021GKE
Deskripsi | Keparahan |
---|---|
Ada masalah umum saat mengupdate resource Apakah saya terpengaruh?Jika kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Masalah ini memengaruhi versi GKE berikut:
Jika Anda tidak mengonfigurasi Google Cloud Armor pada resource Ingress melalui Apa yang harus saya lakukan?Upgrade bidang kontrol GKE Anda ke salah satu versi terupdate berikut yang
mem-patch masalah ini dan mengizinkan
Masalah ini juga dapat dicegah dengan menghindari deployment Untuk mencegah masalah ini, hanya lakukan pembaruan pada Karena Contoh manifes berikut menjelaskan resource apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Jika Anda memiliki sistem atau alat CI/CD yang memperbarui resource |
Rendah |
GCP-2021-022
Dipublikasikan: 23-09-2021Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan ditemukan di GKE Enterprise Identity Service (AIS) modul LDAP GKE pada VMware versi 1.8 dan 1.8.1 di mana kunci seed yang digunakan dalam pembuatan kunci dapat diprediksi. Dengan ini kerentanan, pengguna yang terautentikasi dapat menambahkan klaim arbitrer dan mengeskalasikan hak istimewa tanpa batas waktu. Detail teknisPenambahan terbaru pada kode AIS menciptakan kunci simetris menggunakan matematika/rand, yang tidak cocok untuk kode yang sensitif terhadap keamanan. Modul ini digunakan sedemikian rupa sehingga akan menghasilkan kunci yang dapat diprediksi. Selama verifikasi identitas, kunci layanan token aman (STS) yang kemudian dienkripsi dengan kunci simetris yang mudah untuk diperoleh. Apa yang harus saya lakukan?Kerentanan ini hanya memengaruhi pelanggan yang menggunakan AIS dalam GKE pada VMware versi 1.8 dan 1.8.1. Untuk pengguna GKE pada VMware 1.8, upgrade cluster Anda ke versi:
|
Tinggi |
GCP-2021-021
Dipublikasikan: 22-09-2021Referensi: CVE-2020-8561
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561,
ditemukan di Kubernetes di mana webhook tertentu dapat dibuat untuk
mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang
mengontrol respons dari
Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk Server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan versi yang saat ini tersedia GKE Enterprise telah menerapkan mitigasi berikut yang melindungi jaringan dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561,
ditemukan di Kubernetes di mana webhook tertentu dapat dibuat untuk
mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang
mengontrol respons dari
Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk Server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan versi yang saat ini tersedia GKE Enterprise telah menerapkan mitigasi berikut yang melindungi jaringan dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561,
ditemukan di Kubernetes di mana webhook tertentu dapat dibuat untuk
mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang
mengontrol respons dari
Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk Server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan versi yang saat ini tersedia GKE Enterprise telah menerapkan mitigasi berikut yang melindungi jaringan dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561,
ditemukan di Kubernetes di mana webhook tertentu dapat dibuat untuk
mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang
mengontrol respons dari
Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk Server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan versi yang saat ini tersedia GKE Enterprise telah menerapkan mitigasi berikut yang melindungi jaringan dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
GCP-2021-018
Dipublikasikan: 15-09-2021Diperbarui: 24-09-2021
Referensi: CVE-2021-25741
Update 24-09-2021: GKE pada buletin Bare Metal diupdate dengan versi lain yang telah di-patch.
Update 20-09-2021: Buletin ditambahkan untuk GKE pada Bare Metal
Update 16-09-2021: Buletin ditambahkan untuk GKE pada VMware
GKE
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat penampung dengan volume subjalur pemasangan untuk mengakses file & direktori di luar volume, termasuk pada sistem file {i>host<i}. Detail teknis:Di CVE-2021-25741, penyerang dapat membuat {i>symbolic link<i} dari kosongDir yang dipasang ke sistem file {i>root<i} dari {i>node<i} ( / ), {i> kubelet<i} akan mengikuti symlink dan memasang {i> root host<i} ke dalam container.Apa yang harus saya lakukan?Sebaiknya upgrade kumpulan node ke salah satu versi berikut atau yang lebih baru untuk memanfaatkan patch terbaru:
Versi berikut juga berisi perbaikan:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat penampung dengan volume subjalur pemasangan untuk mengakses file & direktori di luar volume, termasuk pada sistem file {i>host<i}. Detail teknis:Di CVE-2021-25741, penyerang dapat membuat {i>symbolic link<i} dari kosongDir yang dipasang ke sistem file {i>root<i} dari {i>node<i} ( / ), {i> kubelet<i} akan mengikuti symlink dan memasang {i> root host<i} ke dalam container.Apa yang harus saya lakukan?Diperbarui 24-09-2021: Versi 1.8.3 dan 1.7.4 yang di-patch kini tersedia. Diperbarui 17-09-2021: Mengoreksi daftar versi yang tersedia yang berisi patch. Versi GKE pada VMware berikut telah diupdate dengan kode tertentu untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat penampung dengan volume subjalur pemasangan untuk mengakses file & direktori di luar volume, termasuk pada sistem file {i>host<i}. Detail teknis:Di CVE-2021-25741, penyerang dapat membuat {i>symbolic link<i} dari kosongDir yang dipasang ke sistem file {i>root<i} dari {i>node<i} ( / ), {i> kubelet<i} akan mengikuti symlink dan memasang {i> root host<i} ke dalam container.Apa yang harus saya lakukan?Update 16-9-2021: Menambahkan daftar versi gke yang didukung untuk objek Versi GKE di AWS berikut telah diupdate dengan kode tertentu untuk memperbaiki kerentanan ini. Sebaiknya Anda:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat penampung dengan volume subjalur pemasangan untuk mengakses file & direktori di luar volume, termasuk pada sistem file {i>host<i}. Detail teknis:Di CVE-2021-25741, penyerang dapat membuat {i>symbolic link<i} dari kosongDir yang dipasang ke sistem file {i>root<i} dari {i>node<i} ( / ), {i> kubelet<i} akan mengikuti symlink dan memasang {i> root host<i} ke dalam container.Apa yang harus saya lakukan?Versi GKE berikut pada Bare Metal berikut telah diupdate kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:
|
Tinggi |
GCP-2021-017
Dipublikasikan: 01-09-2021Diperbarui: 23-09-2021
Referensi: CVE-2021-33909
CVE-2021-33910
GKE
Deskripsi | Keparahan |
---|---|
2021-09-23 update:Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini terhadap serangan yang berasal dari dalam container. 2021-09-15 pembaruan:Versi GKE berikut mengatasi kerentanan:
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah dalam {i>kernel<i} Linux yang dapat menyebabkan kerusakan OS atau eskalasi ke {i>root<i} oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Di CVE-2021-33909,
Lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, sehingga
ke overflow bilangan bulat, Operasi Tulis Di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah dalam {i>kernel<i} Linux yang dapat menyebabkan kerusakan OS atau eskalasi ke {i>root<i} oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Di CVE-2021-33909,
Lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, sehingga
ke overflow bilangan bulat, Operasi Tulis Di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux untuk GKE di AWS telah diupdate dengan kode
untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah dalam {i>kernel<i} Linux yang dapat menyebabkan kerusakan OS atau eskalasi ke {i>root<i} oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Di CVE-2021-33909,
Lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, sehingga
ke overflow bilangan bulat, Operasi Tulis Di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux dan COS untuk GKE di VMware telah diupdate dengan kode
untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
GCP-2021-015
Dipublikasikan: 13-07-2021Diperbarui: 15-07-2021
Referensi: CVE-2021-22555
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan baru, CVE-2021-22555,
ditemukan di mana pelaku kejahatan dengan hak istimewa Detail teknis
Dalam serangan ini, penulisan yang melebihi batas di Apa yang harus saya lakukan?Versi Linux di GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan baru, CVE-2021-22555,
ditemukan di mana pelaku kejahatan dengan hak istimewa Detail teknis
Dalam serangan ini, penulisan yang melebihi batas di Apa yang harus saya lakukan?Versi Linux di GKE pada VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2021-014
Dipublikasikan: 05-07-2021Referensi: CVE-2021-34527
GKE
Deskripsi | Keparahan |
---|---|
Microsoft memublikasikan buletin keamanan tentang kerentanan Eksekusi Kode Jarak Jauh (RCE), CVE-2021-34527, yang memengaruhi spooler cetak di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan pembaruan tentang kerentanan terkait, yang dijuluki "PrintNightmare" yang juga memengaruhi spooler cetak Windows - PrintNightmare, Kerentanan Critical Windows Print Spooler Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Sebagai bagian dari image dasar, node GKE Windows tidak memuat layanan Spooler yang terpengaruh, sehingga deployment GKE Windows tidak rentan terhadap serangan ini. Kerentanan apa yang diatasi oleh buletin ini?
|
Tinggi |
GCP-2021-012
Dipublikasikan: 01-07-2021Diperbarui: 09-07-2021
Referensi: CVE-2021-34824
GKE
Deskripsi | Keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod. Apa yang harus saya lakukan?Cluster GKE tidak menjalankan Istio secara default dan, saat diaktifkan, menggunakan Istio versi 1.6, yang tidak rentan terhadap serangan ini. Jika Anda telah menginstal atau mengupgrade Istio di cluster ke Istio 1.8 atau yang lebih baru, upgrade Istio ke versi terbaru yang didukung. |
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod. Apa yang harus saya lakukan?Cluster Anthos di VMware v1.6 dan v1.7 tidak rentan terhadap serangan ini. Cluster Anthos di VMware v1.8 rentan. Jika Anda menggunakan cluster Anthos di VMware v1.8, upgrade ke versi yang di-patch berikut atau yang lebih baru:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh tempat kredensial yang ditentukan di kolom Gateway dan DestinationRule credentialName dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja menggunakan DestinationRule dapat memuat sertifikat dan kunci pribadi TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam rahasia di dalam namespace-nya. Namun, bug dalam istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di dalam istiod. Cluster yang dibuat atau diupgrade dengan cluster Anthos di bare metal v1.8.0 akan terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anthos v1.6 dan 1.7 tidak rentan terhadap serangan ini. Jika Anda memiliki cluster v1.8.0, download dan instal bmctl versi 1.8.1 dan upgrade cluster Anda ke versi yang di-patch berikut:
|
Tinggi |
GCP-2021-011
Dipublikasikan: 04-06-2021Diperbarui: 19-10-2021
Referensi: CVE-2021-30465
Update 19-10-2021: Menambahkan buletin untuk GKE pada VMware, GKE di AWS, dan GKE di Bare Metal.
GKE
Deskripsi | Keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Untuk GKE, karena pemanfaatan kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah memberi rating tingkat keparahan kerentanan ini di MEDIUM. Detail teknis
Paket Untuk serangan spesifik ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya {i>symlink<i}. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan root izin akses. Apa yang harus saya lakukan?Terdapat patch yang baru dirilis untuk Upgrade cluster GKE Anda ke salah satu versi terbaru berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Untuk GKE di VMware, karena pemanfaatan kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah memberi rating tingkat keparahan kerentanan ini di MEDIUM. Detail teknis
Paket Untuk serangan spesifik ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya {i>symlink<i}. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan root izin akses. Apa yang harus saya lakukan?Terdapat patch yang baru dirilis untuk
|
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Karena ini adalah kerentanan tingkat OS, GKE di AWS tidak rentan. Detail teknis
Paket Untuk serangan spesifik ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya {i>symlink<i}. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan root izin akses. Apa yang harus saya lakukan?Pastikan versi OS tempat Anda menjalankan GKE di AWS telah diupgrade ke versi OS terbaru yang memiliki paketrunc yang telah diupdate.
|
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Karena ini adalah kerentanan tingkat OS, GKE pada Bare Metal tidak rentan. Detail teknis
Paket Untuk serangan spesifik ini, pengguna berpotensi memanfaatkan kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya {i>symlink<i}. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan root izin akses. Apa yang harus saya lakukan?
Pastikan versi OS tempat Anda menjalankan Google Distributed Cloud Virtual for Bare Metal
diupgrade ke versi OS terbaru yang memiliki paket |
Tidak ada |
GCP-2021-006
Dipublikasikan: 11-05-2021Referensi: CVE-2021-31920
GKE
Deskripsi | Keparahan |
---|---|
Project Istio baru-baru ini diungkap kerentanan keamanan baru (CVE-2021-31920) memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh di mana permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat jalur berbasis aturan otorisasi digunakan. Apa yang harus saya lakukan?Sebaiknya Anda mengupdate dan mengonfigurasi ulang GKE klaster. Perhatikan bahwa penting untuk menyelesaikan kedua langkah di bawah ini untuk berhasil mengatasi kerentanan:
|
Tinggi |
GCP-2021-004
Dipublikasikan: 06-05-2021Referensi: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Deskripsi | Keparahan |
---|---|
Project Envoy dan Istio baru-baru ini diumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat {i>crash<i} Envoy. Cluster GKE tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap {i>denial of service<i}. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade bidang kontrol GKE Anda ke salah satu versi yang di-patch berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Project Envoy dan Istio baru-baru ini diumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat {i>crash<i} Envoy. GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade GKE Anda di VMware ke salah satu opsi berikut versi yang di-patch saat dirilis:
|
Sedang |
Cluster GKE aktif
Diperbarui: 06-05-2021
Deskripsi | Keparahan |
---|---|
Project Envoy dan Istio baru-baru ini diumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat {i>crash<i} Envoy. Google Distributed Cloud Virtual untuk Bare Metal menggunakan Envoy secara default untuk Ingress, jadi layanan Ingress mungkin rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Google Distributed Cloud Virtual for Bare Metal ke satu versi yang di-patch berikut saat dirilis:
|
Sedang |
GCP-2021-003
Dipublikasikan: 19-04-2021Referensi: CVE-2021-25735
GKE
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran yang Memvalidasi. Dalam skenario di mana penyerang memiliki
hak istimewa yang memadai dan di mana kotak
Webhook Penerimaan diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster GKE Anda ke salah satu versi yang di-patch berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran yang Memvalidasi. Dalam skenario di mana penyerang memiliki
hak istimewa yang memadai dan di mana kotak
Webhook Penerimaan diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran yang Memvalidasi. Dalam skenario di mana penyerang memiliki
hak istimewa yang memadai dan di mana kotak
Webhook Penerimaan diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran yang Memvalidasi. Dalam skenario di mana penyerang memiliki
hak istimewa yang memadai dan di mana kotak
Webhook Penerimaan diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
GCP-2021-001
Dipublikasikan: 28-01-2021Referensi: CVE-2021-3156
GKE
Deskripsi | Keparahan |
---|---|
Sebuah kerentanan baru-baru ini ditemukan
di aplikasi utilitas Linux Cluster Google Kubernetes Engine (GKE) tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena cluster GKE tidak terpengaruh oleh kerentanan ini, tindakan diperlukan. GKE akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme yang teratur. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Sebuah kerentanan baru-baru ini ditemukan
di aplikasi utilitas Linux GKE di VMware tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena GKE pada cluster VMware tidak terpengaruh oleh kerentanan ini, tidak ada lagi tindakan diperlukan. GKE di VMware akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme yang teratur. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Sebuah kerentanan baru-baru ini ditemukan
di aplikasi utilitas Linux GKE di AWS tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena GKE di cluster AWS tidak terpengaruh oleh kerentanan ini, tindakan diperlukan. GKE di AWS akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme yang teratur. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Sebuah kerentanan baru-baru ini ditemukan
di aplikasi utilitas Linux Google Distributed Cloud Virtual untuk cluster Bare Metal tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena Google Distributed Cloud Virtual untuk cluster Bare Metal tidak terpengaruh oleh kerentanan ini, tidak lebih tindakan diperlukan. Google Distributed Cloud Virtual untuk Bare Metal akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme yang teratur. |
Tidak ada |
GCP-2020-015
Dipublikasikan: 07-12-2020Diperbarui: 22-12-2021
Referensi: CVE-2020-8554
Update 22-12-2021: Menggunakan gcloud beta
, bukan
perintah gcloud
.
Update 15-12-2021: Menambahkan mitigasi tambahan untuk GKE.
GKE
Deskripsi | Keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
Untuk informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini ditemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes dari mengetik LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain gugus ini. Kerentanan ini dengan sendirinya tidak memberikan izin bagi penyerang untuk membuat Service Kubernetes. Semua cluster Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya pada versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna membagikan akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi sementara waktu. Untuk saat ini, yang terbaik mitigasi adalah membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIPs adalah bukan fitur yang biasa digunakan. Membatasi penggunaan ExternalIP di cluster dengan salah satu dari metode berikut:
Sebagaimana disebutkan dalam
Pengumuman Kubernetes,
tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya
pengguna dan komponen sistem dengan hak istimewa diberi |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
Untuk informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini ditemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes dari mengetik LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain gugus ini. Kerentanan ini dengan sendirinya tidak memberikan izin bagi penyerang untuk membuat Service Kubernetes. Semua GKE di VMware terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya pada versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna membagikan akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi sementara waktu. Untuk saat ini, yang terbaik mitigasi adalah membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIPs adalah bukan fitur yang biasa digunakan. Membatasi penggunaan ExternalIP di cluster dengan salah satu dari metode berikut:
Sebagaimana disebutkan dalam
Pengumuman Kubernetes,
tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya
pengguna dan komponen sistem dengan hak istimewa diberi |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut sekarang tersedia:
Untuk informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini ditemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes dari mengetik LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain gugus ini. Kerentanan ini dengan sendirinya tidak memberikan izin bagi penyerang untuk membuat Service Kubernetes. Semua GKE di AWS terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya pada versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna membagikan akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi sementara waktu. Untuk saat ini, yang terbaik mitigasi adalah membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIPs adalah bukan fitur yang biasa digunakan. Membatasi penggunaan ExternalIP di cluster dengan salah satu dari metode berikut:
Sebagaimana disebutkan dalam
Pengumuman Kubernetes,
tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya
pengguna dan komponen sistem dengan hak istimewa diberi |
Sedang |
GCP-2020-014
Dipublikasikan: 20-10-2020Referensi: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Diperbarui: 20-10-2020
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Tujuan masalahnya adalah:
GKE tidak terpengaruh. Apa yang harus saya lakukan?Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE. |
Tidak ada |
Cluster GKE aktif
Diperbarui: 10-10-2020
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Tujuan masalahnya adalah:
GKE pada VMware tidak terpengaruh. Apa yang harus saya lakukan?Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE. |
Tidak ada |
Cluster GKE aktif
Diperbarui: 20-10-2020
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data secret saat opsi logging panjang diaktifkan. Tujuan masalahnya adalah:
GKE di AWS tidak terpengaruh. Apa yang harus saya lakukan?Tidak diperlukan tindakan lebih lanjut karena adanya level logging verbositas default GKE. |
Tidak ada |
GCP-2020-012
Dipublikasikan: 14-09-2020Referensi: CVE-2020-14386
GKE
Deskripsi | Keparahan |
---|---|
Baru-baru ini, kerentanan ditemukan di {i>kernel<i} Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container untuk mendapatkan hak istimewa root pada node host. Semua node GKE terpengaruh. Pod yang berjalan di Sandbox GKE tidak dapat memanfaatkan kerentanan ini. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade bidang kontrol, lalu node Anda ke salah satu versi yang di-patch yang tercantum di bawah ini:
Eksploitasi kerentanan ini memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386,
yang memungkinkan container dengan |
Tinggi |
Cluster GKE aktif
Diperbarui: 17-09-2020
Deskripsi | Keparahan |
---|---|
Baru-baru ini, kerentanan ditemukan di {i>kernel<i} Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container untuk mendapatkan hak istimewa root pada node host. Semua node GKE pada VMware terpengaruh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang telah di-patch. Versi {gke_on_prem_name}} mendatang berikut akan berisi perbaikan untuk kerentanan tersebut, dan buletin ini akan diperbarui jika tersedia:
Eksploitasi kerentanan ini memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386,
yang memungkinkan container dengan |
Tinggi |
Cluster GKE aktif
Diperbarui: 13-10-2020
Deskripsi | Keparahan |
---|---|
Baru-baru ini, kerentanan ditemukan di {i>kernel<i} Linux, yang dijelaskan dalam CVE-2020-14386, yang memungkinkan escape container untuk mendapatkan hak istimewa root pada node host. Semua node GKE pada AWS terpengaruh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade layanan pengelolaan dan cluster pengguna ke versi yang di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut akan menyertakan perbaikan untuk kerentanan tersebut, dan buletin ini akan diperbarui jika tersedia:
Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386,
yang memungkinkan container dengan |
Tinggi |
GCP-2020-011
Dipublikasikan: 24-07-2020Referensi: CVE-2020-8558
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan loopback interface (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke loopback untuk antarmuka Pod dan node yang berdekatan. Layanan yang mengandalkan loopback dan antarmuka yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi. Memanfaatkan kerentanan ini di cluster GKE mengharuskan penyerang memiliki hak istimewa administrator jaringan di Google Cloud yang menghosting VPC cluster. Kerentanan ini saja tidak memberikan hak istimewa administrator jaringan kepada penyerang. Sebagai oleh karena itu, kerentanan ini telah ditetapkan tingkat keparahan Rendah untuk hanya pada container yang tepercaya. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade kumpulan node cluster Anda ke versi GKE berikut (dan yang lebih baru):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Rendah |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan loopback interface (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke loopback untuk antarmuka Pod dan node yang berdekatan. Layanan yang mengandalkan loopback dan antarmuka yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan loopback interface (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke loopback untuk antarmuka Pod dan node yang berdekatan. Layanan yang mengandalkan loopback dan antarmuka yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi. Eksploitasi kerentanan ini pada cluster pengguna mengharuskan penyerang untuk menonaktifkan
pemeriksaan tujuan sumber
pada instance EC2 di cluster. Hal ini mengharuskan penyerang memiliki izin IAM AWS
untuk Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang telah di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut adalah diharapkan menyertakan perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Rendah |
GCP-2020-009
Dipublikasikan: 15-07-2020Referensi: CVE-2020-8559
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan sebuah penyerang yang telah menyusupi {i>node<i} untuk menjalankan perintah pada Pod di cluster. Dengan demikian, penyerang dapat menggunakan sandi yang sudah untuk menyusupi {i>node<i} lain dan berpotensi membaca informasi, atau dapat menimbulkan tindakan destruktif. Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, sebuah {i>node<i} di cluster sudah pasti sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan mengganggu node apa pun di cluster Anda. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang telah di-patch. Cluster akan menjadi diupgrade otomatis selama beberapa minggu ke depan, dan versi yang di-patch akan tersedia paling lambat 19 Juli 2020 untuk jadwal upgrade manual yang dipercepat. Versi bidang kontrol GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini dinilai sebagai Kerentanan sedang untuk GKE, karena memerlukan penyerang mendapatkan informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan sebuah penyerang dengan {i>node<i} yang telah disusupi. |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan sebuah penyerang yang telah menyusupi {i>node<i} untuk menjalankan perintah pada Pod di cluster. Dengan demikian, penyerang dapat menggunakan sandi yang sudah untuk menyusupi {i>node<i} lain dan berpotensi membaca informasi, atau dapat menimbulkan tindakan destruktif. Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, sebuah {i>node<i} di cluster sudah pasti sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan mengganggu node apa pun di cluster Anda. Apa yang harus saya lakukan?Upgradekan cluster ke versi yang di-patch. GKE mendatang pada VMware berikut versi atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini dinilai sebagai Kerentanan sedang untuk GKE, karena memerlukan penyerang mendapatkan informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan sebuah penyerang dengan {i>node<i} yang telah disusupi. |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan sebuah penyerang yang telah menyusupi {i>node<i} untuk menjalankan perintah pada Pod di cluster. Dengan demikian, penyerang dapat menggunakan sandi yang sudah untuk menyusupi {i>node<i} lain dan berpotensi membaca informasi, atau dapat menimbulkan tindakan destruktif. Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, sebuah {i>node<i} di cluster sudah pasti sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan mengganggu node apa pun di cluster Anda. Apa yang harus saya lakukan?GKE di AWS GA (1.4.1, tersedia akhir Juli 2020) atau yang lebih baru menyertakan {i>patch<i} untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download versi baru alat command line anthos-gke versi baru dan membuat ulang cluster pengelolaan dan pengguna Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini dinilai sebagai Kerentanan sedang untuk GKE, karena memerlukan penyerang mendapatkan informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan sebuah penyerang dengan {i>node<i} yang telah disusupi. |
Sedang |
GCP-2020-007
Dipublikasikan: 01-06-2020Referensi: CVE-2020-8555
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, sehingga memungkinkan membocorkan hingga 500 byte informasi sensitif dari jaringan {i>host<i} bidang kontrol. Kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan. Sebaiknya Anda upgrade bidang kontrol ke versi {i>patch<i} terbaru, seperti yang kami jelaskan di bawah ini. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Luas mayoritas cluster sudah menjalankan versi yang di-patch. Versi GKE berikut atau yang lebih baru berisi perbaikan untuk masalah ini kerentanan:
{i>Cluster<i} yang menggunakan saluran rilis sudah ada di versi bidang kontrol dengan mitigasi. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Ini dinilai sebagai kerentanan Medium karena sulit untuk dieksploitasi karena berbagai tindakan pengerasan bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan
jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau
izin untuk membuat StorageClass dapat menyebabkan
Dikombinasikan dengan cara untuk membocorkan hasil |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, sehingga memungkinkan membocorkan hingga 500 byte informasi sensitif dari jaringan {i>host<i} bidang kontrol. Kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?GKE berikut pada versi VMware atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jika Anda menggunakan versi sebelumnya, mengupgrade cluster yang sudah ada ke versi yang berisi perbaikan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Ini dinilai sebagai kerentanan Medium karena sulit untuk dieksploitasi karena berbagai tindakan pengerasan bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan
jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau
izin untuk membuat StorageClass dapat menyebabkan
Dikombinasikan dengan cara untuk membocorkan hasil |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, sehingga memungkinkan membocorkan hingga 500 byte informasi sensitif dari jaringan {i>host<i} bidang kontrol. Kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?GKE pada AWS v0.2.0 atau yang lebih baru sudah mencakup {i>patch<i} untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download alat command line anthos-gke versi baru dan membuat ulang cluster pengelolaan dan pengguna Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Ini dinilai sebagai kerentanan Medium karena sulit untuk dieksploitasi karena berbagai tindakan pengerasan bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan
jenis Volume bawaan (GlusterFS, Quobyte, StorageFS, ScaleIO) atau
izin untuk membuat StorageClass dapat menyebabkan
Dikombinasikan dengan cara untuk membocorkan hasil |
Sedang |
GCP-2020-006
Dipublikasikan: 01-06-2020Referensi: Kubernetes isu 91507
GKE
Deskripsi | Keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan kontainer istimewa untuk mengalihkan lalu lintas node ke container. Traffic TLS/SSH timbal balik, seperti antara kubelet dan API server atau lalu lintas dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) oleh kerentanan ini, dan sebaiknya Anda upgrade dapat versi {i>patch<i} terbaru, seperti yang kami jelaskan di bawah ini. Apa yang harus saya lakukan?Untuk memitigasi kerentanan ini, upgrade bidang kontrol, lalu {i>node<i} Anda ke salah satu versi yang telah di-patch yang tercantum di bawah ini. Cluster di saluran rilis sudah menjalankan versi yang di-patch di bidang kontrol dan node:
Sangat sedikit penampung yang biasanya memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch mengurangi kerentanan berikut: Kerentanan yang dijelaskan di
Masalah Kubernetes 91507
Kemampuan |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan kontainer istimewa untuk mengalihkan lalu lintas node ke container. Traffic TLS/SSH timbal balik, seperti antara kubelet dan API server atau lalu lintas dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) oleh kerentanan ini, dan sebaiknya Anda upgrade ke versi {i>patch<i} terbaru, seperti yang kami jelaskan di bawah ini. Apa yang harus saya lakukan?Guna memitigasi kerentanan untuk GKE pada VMware, mengupgrade cluster ke versi berikut atau yang lebih baru:
Sangat sedikit penampung yang biasanya memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch mengurangi kerentanan berikut: Kerentanan yang dijelaskan di
Masalah Kubernetes 91507
Kemampuan |
Sedang |
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan kontainer istimewa untuk mengalihkan lalu lintas node ke container. Traffic TLS/SSH timbal balik, seperti antara kubelet dan API server atau lalu lintas dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) oleh kerentanan ini, dan sebaiknya Anda upgrade ke versi {i>patch<i} terbaru, seperti yang kami jelaskan di bawah ini. Apa yang harus saya lakukan?Download alat command line anthos-gke dengan versi berikut atau yang lebih baru, dan buat ulang cluster pengelolaan dan pengguna Anda:
Sangat sedikit penampung yang biasanya memerlukan Lepaskan kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch mengurangi kerentanan berikut: Kerentanan yang dijelaskan di
Masalah Kubernetes 91507
Kemampuan |
Sedang |
GCP-2020-005
Dipublikasikan: 07-05-2020Diperbarui: 07-05-2020
Referensi: CVE-2020-8835
GKE
Deskripsi | Keparahan |
---|---|
Baru-baru ini, kerentanan ditemukan di {i>kernel<i} Linux, yang dijelaskan dalam CVE-2020-8835, memungkinkan escape container untuk mendapatkan hak istimewa {i>root <i}pada node host. Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru sesegera mungkin, saat kami menjelaskan di bawah ini. Node yang menjalankan Container-Optimized OS tidak akan terpengaruh. Node yang berjalan di GKE pada VMware tidak akan terpengaruh. Apa yang harus saya lakukan?Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node menjalankan Ubuntu di GKE versi 1.16 atau 1.17 adalah terdampak. Untuk mengupgrade node, pertama-tama Anda harus mengupgrade master ke versi terbaru. Patch ini akan tersedia di Kubernetes 1.16.8-gke.12, 1.17.4-gke.10, dan rilis yang lebih baru. Melacak ketersediaan patch ini dalam catatan rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: CVE-2020-8835 menjelaskan kerentanan pada {i>kernel<i} Linux versi 5.5.0 dan yang lebih baru yang memungkinkan kontainer berbahaya (dengan interaksi pengguna yang minimal bentuk exec) membaca dan menulis memori {i>kernel<i} dan dengan demikian mendapatkan eksekusi kode tingkat root pada node {i>host<i}. Ini dinilai sebagai 'Tinggi' tingkat keparahan. |
Tinggi |
GCP-2020-004
Dipublikasikan: 07-05-2020Diperbarui: 07-05-2020
Referensi: CVE-2019-11254
Cluster GKE aktif
Deskripsi | Keparahan |
---|---|
Baru-baru ini, kerentanan ditemukan di Kubernetes, CVE-2019-11254, yang memungkinkan setiap pengguna yang berwenang untuk membuat permintaan POST untuk mengeksekusi serangan Denial-of-Service jarak jauh pada server Kubernetes API. Tujuan Product Security Committee (PSC) Kubernetes merilis informasi tentang kerentanan ini yang dapat ditemukan di sini. Anda dapat memitigasi kerentanan ini dengan membatasi klien mana yang memiliki akses jaringan ke server Kubernetes API Anda. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini segera setelah tersedia. Versi patch yang berisi perbaikan tercantum di bawah ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut: |
Sedang |
GCP-2020-003
Dipublikasikan: 31-03-2020Diperbarui: 31-03-2020
Referensi: CVE-2019-11254
GKE
Deskripsi | Keparahan |
---|---|
Baru-baru ini, kerentanan ditemukan di Kubernetes, CVE-2019-11254, yang memungkinkan setiap pengguna yang berwenang untuk membuat permintaan POST untuk mengeksekusi serangan Denial-of-Service jarak jauh pada server Kubernetes API. Tujuan Product Security Committee (PSC) Kubernetes merilis informasi tentang kerentanan ini yang dapat ditemukan di sini. Cluster GKE yang menggunakan Jaringan yang Diizinkan Master dan Cluster pribadi tanpa endpoint publik memitigasi kerentanan ini. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini. Versi patch yang berisi perbaikan tercantum di bawah ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut: |
Sedang |
GCP-2020-002
Dipublikasikan: 23-03-2020Diperbarui: 23-03-2020
Referensi: CVE-2020-8551, CVE-2020-8552
GKE
Deskripsi | Keparahan |
---|---|
Kubernetes telah mengungkapkan dua kerentanan denial of service, satu memengaruhi server API, dan satu lagi memengaruhi Kubelet. Untuk selengkapnya selengkapnya, lihat masalah Kubernetes: 89377 dan 89378. Apa yang harus saya lakukan?Semua pengguna GKE dilindungi dari CVE-2020-8551 kecuali pengguna yang tidak tepercaya dapat mengirim permintaan dalam jaringan internal cluster. Penggunaan jaringan yang diizinkan master mengurangi risiko tambahan terhadap CVE-2020-8552. Kapan fitur ini akan di-patch?Patch untuk CVE-2020-8551 memerlukan upgrade node. Versi patch yang akan berisi mitigasi tercantum di bawah ini:
Patch untuk CVE-2020-8552 memerlukan upgrade master. Versi patch yang akan berisi mitigasi tercantum di bawah ini:
|
Sedang |
GCP-january_21_2020
Dipublikasikan: 21-01-2020Diperbarui: 24-01-2020
Referensi: CVE-2019-11254
GKE
Deskripsi | Keparahan |
---|---|
Update 24-01-2020: Proses pembuatan patch versi yang tersedia sudah berlangsung dan akan selesai pada bulan Januari 25 2020. Microsoft telah mengungkapkan kerentanan pada Windows Crypto API dan validasi tanda tangan kurva eliptisnya. Untuk informasi lebih lanjut lihat Pengungkapan Microsoft. Apa yang sebaiknya saya lakukan? Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node dan menjalankan Windows Server akan terdampak. Untuk pelanggan yang menggunakan {i>node<i} Windows Server, baik {i>node<i} maupun workload dalam container yang berjalan pada node tersebut harus diupdate agar versi yang telah di-patch untuk mengurangi kerentanan ini. Untuk memperbarui penampung: Bangun ulang container Anda menggunakan image container dasar terbaru Microsoft, memilih servercore atau nanoserver dengan Waktu Terakhir Diperbarui pada 1/14/2020 atau setelahnya. Untuk mengupdate node: Proses penyediaan versi yang di-patch sudah berlangsung dan akan selesai paling lambat 24 Januari 2020. Anda dapat menunggu hingga waktu tersebut dan melakukan upgrade node ke membuat patch versi GKE atau Anda dapat menggunakan Windows Update untuk men-deploy versi Windows mem-patch secara manual kapan saja. Versi patch yang akan berisi mitigasi akan dicantumkan di bawah ini:
Kerentanan apa yang dapat diatasi oleh patch ini? Patch ini mengurangi jenis kerentanan berikut: CVE-2020-0601 - Kerentanan ini juga dikenal sebagai Jendela Kerentanan Spoofing Crypto API dan dapat dieksploitasi untuk file berbahaya yang dapat dieksekusi terlihat tepercaya atau memungkinkan penyerang melakukan serangan {i>man-in-the-middle<i} dan membongkar enkripsi informasi rahasia di TLS koneksi ke perangkat lunak yang terpengaruh. |
Skor Dasar NVD: 8,1 (Tinggi) |
Buletin keamanan yang diarsipkan
Untuk buletin keamanan sebelum tahun 2020, lihat Arsip buletin keamanan.