Bulletins de sécurité

Ce document décrit tous les bulletins de sécurité pour les produits suivants :

  • Google Kubernetes Engine (GKE)
  • Google Distributed Cloud (logiciel uniquement) sur VMware
  • GKE sur AWS
  • GKE sur Azure
  • Google Distributed Cloud (logiciel uniquement) sur bare metal

Les failles de sécurité sont souvent gardées secrètes jusqu'à ce que les parties concernées aient eu la possibilité de les corriger. Si tel est le cas, les notes de version de GKE font référence à des "mises à jour de sécurité" jusqu'à la levée du secret. Les notes sont alors mises à jour pour refléter les failles traitées par le correctif.

Lorsque GKE émet un bulletin de sécurité directement lié à la configuration ou à la version de votre cluster, nous pouvons vous envoyer une notification de cluster SecurityBulletinEvent qui fournit des informations sur la faille et les actions que vous pouvez entreprendre, le cas échéant. Pour en savoir plus sur la configuration des notifications de cluster, consultez la page Notifications de cluster.

Pour en savoir plus sur la façon dont Google gère les failles et les correctifs de sécurité pour GKE et GKE Enterprise, consultez la section Application de correctifs de sécurité.

Les plates-formes GKE et GKE Enterprise n'utilisent pas de composants comme ingress-nginx et l'environnement d'exécution du conteneur CRI-O, et ne sont pas affectés par les vulnérabilités de ces composants. Si vous installez des composants à partir d'autres sources, reportez-vous à la source en question pour les mises à jour de sécurité ainsi que pour obtenir des conseils eu égard aux correctifs associés à ces composants.

Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page. S'abonner

GCP-2024-045

Date de publication : 17/07/2024
Référence: CVE-2024-26925

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26925

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GDC (VMware)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26925

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26925

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26925

Que dois-je faire ?

En attente

GDC (Bare Metal)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26925

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-044

Date de publication : 16/07/2024
Référence: CVE-2024-36972

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-36972

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GDC (VMware)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-36972

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-36972

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-36972

Que dois-je faire ?

En attente

GDC (Bare Metal)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-36972

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-043

Date de publication : 16/07/2024
Référence: CVE-2024-26921

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26921

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GDC (VMware)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26921

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26921

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26921

Que dois-je faire ?

En attente

GDC (Bare Metal)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26921

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-042

Date de publication : 15/07/2024
Dernière mise à jour : 18-07-2024
Référence: CVE-2024-26809

Mise à jour du 18/07/2024 : clarification concernant le fait que les clusters Autopilot sont associés à la valeur par défaut de votre application ne sont pas affectées.

GKE

Dernière mise à jour : 18/07/2024

Description Gravité

Mise à jour du 18/07/2024 : version d'origine de ce bulletin incorrecte a déclaré que les clusters Autopilot ont été affectés. les clusters Autopilot la configuration par défaut ne sont pas affectées, mais elles peuvent être vulnérables si vous définissez le profil Unconfined seccomp ou autorisez la capacité CAP_NET_ADMIN.


Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26809

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GDC (VMware)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26809

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26809

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26809

Que dois-je faire ?

En attente

GDC (Bare Metal)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26809

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-041

Date de publication : 08/07/2024
Dernière mise à jour : 19/07/2024
Référence: CVE-2023-52654, CVE-2023-52656

Mise à jour du 19/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

GKE

Dernière mise à jour : 19/07/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 19/07/2024 : Les versions suivantes de GKE contiennent pour corriger cette faille sur Ubuntu. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GDC (VMware)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Que dois-je faire ?

En attente

GDC (Bare Metal)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-040

Date de publication : 01/07/2024
Dernière mise à jour : 11-07-2024
Référence: CVE-2024-6387

Mise à jour du 11/07/2024 : ajout de versions de correctif pour le logiciel GDC pour VMware. GKE sur AWS et GKE sur Azure.

Mise à jour du 03/07/2024 : Ajout de versions de correctif pour GKE

Mises à jour du 02/07/2024:

  • Clarification sur l'impact des clusters Autopilot nécessiteront une action de la part de l'utilisateur.
  • Ajout d'évaluations d'impact et d'étapes d'atténuation pour GDC (VMware), GKE sur AWS et GKE sur Azure.
  • Correction du bulletin de sécurité GDC (bare metal) pour clarifier que la GDC (bare metal) n'est pas directement et que les clients doivent vérifier l'existence de correctifs auprès des fournisseurs d'OS.

GKE

Dernière mise à jour : 03/07/2024

Description Gravité

Mise à jour du 03/07/2024 : Un déploiement accéléré est en cours. devrait rendre de nouvelles versions de correctif disponibles dans toutes les zones d'ici 3 juillet 2024 à 17h, heure avancée du Pacifique des États-Unis et du Canada (UTC-7) À recevez une notification dès qu'un correctif est disponible pour votre cluster, utilisez notifications de cluster.


Mise à jour du 02/07/2024 : Cette faille affecte le mode Autopilot en mode standard ou en mode standard. Chaque section qui suit décrit les modes à utiliser à laquelle cette section s'applique.


Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découvert dans OpenSSH. La faille exploite une condition de concurrence qui pourrait être utilisée pour accéder à un shell distant, ce qui permet aux attaquants d’obtenir un accès root vers les nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficiles et prennent plusieurs heures par machine attaquée. À notre connaissance, les tentatives d'exploitation.

Toutes les versions compatibles des images Ubuntu et Container-Optimized OS sur GKE exécuter des versions d'OpenSSH vulnérables à ce problème.

Clusters GKE avec adresses IP de nœuds publiques et SSH exposés à Internet doivent être traitées avec la priorité la plus élevée pour l'atténuation.

Le plan de contrôle GKE n'est pas vulnérable à ce problème.

Que dois-je faire ?

Mise à jour du 03/07/2024: Versions de correctif pour GKE

Un déploiement accéléré est en cours et devrait proposer de nouvelles versions de correctif disponible dans toutes les zones d'ici le 3 juillet 2024 à 17h, heure du Pacifique des États-Unis et du Canada (UTC-7).

Les clusters et les nœuds sur lesquels la mise à niveau automatique est activée commenceront à être mis à niveau au fil de la semaine. Toutefois, en raison de la gravité de cette faille, nous vous recommandons d'effectuer une mise à niveau manuelle. Pour ce faire, procédez comme suit : d’obtenir des correctifs aussi vite que possible.

Pour les clusters Autopilot et Standard, mettre à niveau votre plan de contrôle vers une version corrigée. De plus, pour les clusters en mode Standard, mettre à niveau vos pools de nœuds vers une version corrigée. Les clusters Autopilot commenceront à mettre à niveau vos nœuds en fonction la version du plan de contrôle dès que possible.

Les versions de GKE corrigées sont disponibles pour chaque version compatible afin de minimiser les modifications nécessaires pour appliquer le correctif. Le numéro de chaque nouvelle version est un incrémenter le dernier chiffre du numéro d'une version existante correspondante. Par exemple, si vous utilisez 1.27.14-gke.1100000, vous effectuerez une mise à niveau vers 1.27.14-gke.1100002 pour obtenir la solution avec la modification la plus faible possible. Les clusters GKE suivants ont été corrigés versions disponibles:

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

Pour vérifier si un correctif est disponible dans la zone ou la région de votre cluster, exécutez la commande suivante : commande:

gcloud container get-server-config --location=LOCATION

Remplacez LOCATION par votre zone ou région.


Mise à jour du 02/07/2024 : mode Autopilot et mode Standard les clusters doivent être mis à niveau dès que possible après la mise à disposition des versions de correctif.


Une version de GKE corrigée incluant une mise à jour OpenSSH sera effectuée disponibles dès que possible. Ce bulletin sera mis à jour lorsque des correctifs seront disponibles. Pour recevoir une notification Pub/Sub lorsqu'un correctif est disponible pour votre canal, procédez comme suit : activer les notifications de cluster. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster. en appliquant les mesures d'atténuation décrites, si nécessaire.

Déterminer si vos nœuds ont des adresses IP publiques

Mise à jour du 02/07/2024 : Cette section s'applique à la fois à Autopilot et Clusters standards


Si un cluster est créé avec enable-private-nodes, les nœuds sont privés, ce qui atténue la vulnérabilité en supprimant l'exposition au Internet. Exécutez la commande suivante pour déterminer si des nœuds privés sont activés sur votre cluster:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Si la valeur renvoyée est "True", tous les nœuds sont privés pour ce cluster et la faille est atténuée. Si la valeur est vide ou "false", continuez pour appliquer l'une des les mesures d'atténuation décrites dans les sections suivantes.

Pour rechercher tous les clusters créés à l'origine avec des nœuds publics, utilisez cette requête Cloud Asset Inventory. dans le projet ou l'organisation:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Interdire l'accès SSH aux nœuds du cluster

Mise à jour du 02/07/2024 : Cette section s'applique à la fois à Autopilot et Clusters standards


Le réseau par défaut est prérempli avec une règle de pare-feu default-allow-ssh pour autoriser l'accès SSH depuis l'Internet public. Pour supprimer cet accès, procédez comme suit:

  • (Facultatif) Créer des règles pour autoriser tout accès SSH dont vous avez besoin depuis des réseaux de confiance vers les nœuds GKE ou d'autres VM Compute Engine du projet.
  • Désactivez la règle de pare-feu par défaut à l'aide de la commande suivante:
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Si vous avez créé d'autres règles de pare-feu qui peuvent autoriser SSH via TCP sur le port 22, les désactiver ou limiter les adresses IP sources aux réseaux de confiance.

Vérifiez que vous ne pouvez plus vous connecter en SSH aux nœuds du cluster. depuis Internet. Cette configuration de pare-feu atténue la faille.

Convertir des pools de nœuds publics en pools de nœuds privés

Mise à jour du 02/07/2024 : Pour les clusters Autopilot créés à l'origine en tant que des clusters publics, vous pouvez placer vos charges de travail sur des nœuds privés à l'aide de sélecteurs de nœuds. Toutefois, les nœuds Autopilot qui exécutent des charges de travail du système sur des clusters initialement créés en tant que clusters publics resteront des nœuds publics et doivent être protégées à l'aide des modifications de pare-feu décrites dans la section précédente.


Pour protéger au mieux les clusters créés à l'origine avec des nœuds publics, nous recommandons d'abord interdisant l'accès SSH via le pare-feu comme nous l'avons déjà décrit. Si vous n'êtes pas en mesure d'interdire SSH via les règles de pare-feu, vous pouvez convertir les pools de nœuds publics sur GKE Créez des clusters standards comme privés en suivant ces instructions pour isoler les pools de nœuds.

Modifier la configuration SSHD

Mise à jour du 02/07/2024 : Cette section ne s'applique qu'aux tests clusters. Les charges de travail Autopilot ne sont pas autorisées à modifier la configuration des nœuds.


Si aucune de ces mesures d'atténuation ne peut être appliquée, nous avons également publié un daemonset qui définit SSHD LoginGraceTime sur zéro et redémarre le daemon SSH. Ce daemonset peut être appliqué au cluster pour limiter l'attaque. Notez que cette configuration peut augmenter le risque d'attaques par déni de service et causer des problèmes avec Accès SSH Ce daemonset doit être supprimé après l'application d'un correctif.

Critique

GDC (VMware)

Dernière mise à jour : 11/07/2024

Description Gravité

Mise à jour du 11/07/2024 : versions suivantes du logiciel GDC pour VMware ont été mis à jour avec le code nécessaire pour corriger cette faille. Mettre à niveau votre poste de travail administrateur des clusters d'administrateur et des clusters d'utilisateur (y compris des pools de nœuds) à l'un des versions ou ultérieures. Pour savoir comment procéder, consultez Mettez à niveau un cluster ou un pool de nœuds.

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

La mise à jour du 02/07/2024 de ce bulletin indiquait à tort que toutes les versions compatibles d'images Ubuntu sur le logiciel GDC pour VMware, exécutent des versions d'OpenSSH qui sont vulnérable à ce problème. Images Ubuntu sur le logiciel GDC pour VMware version 1.16 les clusters exécutent des versions d'OpenSSH qui ne sont pas vulnérables à ce problème. Ubuntu les images du logiciel GDC pour VMware 1.28 et 1.29 sont vulnérables. Container-Optimized OS sur toutes les versions compatibles de Les logiciels GDC pour VMware sont vulnérables à ce problème.


Mise à jour du 02/07/2024 : Toutes les versions compatibles de Container-Optimized OS et Ubuntu sur le logiciel GDC pour VMware exécutent des versions d'OpenSSH vulnérables à ce problème.

logiciel GDC pour les clusters VMware avec des adresses IP de nœuds publics et SSH exposés au Internet doit être traité avec la priorité la plus élevée pour l'atténuation.


Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découvert dans OpenSSH. La faille exploite une condition de concurrence qui pourrait être utilisée pour accéder à un shell distant, ce qui permet aux attaquants d’obtenir un accès root vers les nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficiles et prennent plusieurs heures par machine attaquée. À notre connaissance, les tentatives d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024 : logiciel GDC corrigé pour la version de VMware qui inclut une mise à jour OpenSSH qui sera disponible dès que possible. Ce bulletin seront mises à jour lorsque des correctifs seront disponibles. Nous vous recommandons d'appliquer les éléments suivants : des mesures correctives si nécessaire.

Interdire l'accès SSH aux nœuds du cluster

Vous pouvez modifier la configuration de votre réseau d'infrastructure pour interdire la connectivité SSH depuis des sources non fiables, telles que l'Internet public.

Modifier la configuration sshd

Si vous ne pouvez pas appliquer la mesure d'atténuation précédente, a publié un DaemonSet qui définit sshd LoginGraceTime sur zéro et redémarre le daemon SSH. Ce Un DaemonSet peut être appliqué au cluster pour limiter l'attaque. Notez que cette peut augmenter le risque d'attaques par déni de service disposant d'un accès SSH légitime. Supprimez ce DaemonSet après l'application d'un correctif.


Critique

GKE sur AWS

Dernière mise à jour : 11/07/2024

Description Gravité

Mise à jour du 11/07/2024 : Versions suivantes de GKE sur AWS ont été mis à jour avec du code permettant de corriger cette faille:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Mettez à niveau votre plan de contrôle et vos pools de nœuds GKE sur AWS vers l'un de ces avec les versions corrigées ou ultérieures. Pour savoir comment procéder, consultez Mettre à niveau la version de votre cluster AWS et Mettez à jour un pool de nœuds.


Mise à jour du 02/07/2024 : Toutes les versions compatibles des images Ubuntu sur GKE sur AWS exécutent des versions d'OpenSSH vulnérables à ce problème.

Clusters GKE sur AWS avec des adresses IP de nœuds publics et SSH exposés au Internet doit être traité avec la priorité la plus élevée pour l'atténuation.


Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découvert dans OpenSSH. La faille exploite une condition de concurrence qui pourrait être utilisée pour accéder à un shell distant, ce qui permet aux attaquants d’obtenir un accès root vers les nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficiles et prennent plusieurs heures par machine attaquée. À notre connaissance, les tentatives d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024 : version corrigée de GKE sur AWS qui inclut une mise à jour OpenSSH qui sera disponible dès que possible. Ce bulletin seront mises à jour lorsque des correctifs seront disponibles. Nous vous recommandons de consulter les en suivant les étapes ci-dessous pour vérifier l'exposition de votre cluster et appliquer les mesures d'atténuation décrites nécessaires.

Déterminer si vos nœuds ont des adresses IP publiques

GKE sur AWS ne provisionne aucune machine avec aucune adresse IP publique ou avec des règles de pare-feu qui autorisent le trafic sur le port 22 par défaut. Toutefois, en fonction la configuration de votre sous-réseau, les machines peuvent automatiquement obtenir une adresse IP publique lors du provisionnement.

Pour vérifier si les nœuds sont provisionnés avec des adresses IP publiques, examiner la configuration du sous-réseau associé à votre ressource de pool de nœuds AWS.

Interdire l'accès SSH aux nœuds du cluster

Même si GKE sur AWS n'autorise le trafic sur le port 22 sur aucun nœud par défaut, les clients peuvent associer des groupes de sécurité supplémentaires aux pools de nœuds, ce qui permet aux Trafic SSH.

Nous vous recommandons supprimer ou réduire la portée règles correspondantes des groupes de sécurité fournis.

Convertir des pools de nœuds publics en pools de nœuds privés

Pour mieux protéger les clusters dotés de nœuds publics, nous vous recommandons d'interdire d'abord SSH via votre groupe de sécurité, comme décrit dans la section précédente. Si vous ne pouvez pas interdire SSH via les règles du groupe de sécurité, vous pouvez convertir les pools de nœuds publics en pools de nœuds privés La désactivation de l'option permettant d'attribuer automatiquement des adresses IP publiques aux machines d'un sous-réseau et le reprovisionnement du pool de nœuds.


Critique

GKE sur Azure

Dernière mise à jour : 11/07/2024

Description Gravité

Mise à jour du 11/07/2024 : Les versions suivantes de GKE sur Azure ont été mis à jour avec du code permettant de corriger cette faille:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Mettez à niveau votre plan de contrôle et vos pools de nœuds GKE sur Azure vers l'un de ces avec les versions corrigées ou ultérieures. Pour savoir comment procéder, consultez Mettre à niveau la version de votre cluster Azure et Mettez à jour un pool de nœuds.


Mise à jour du 02/07/2024 : Toutes les versions compatibles des images Ubuntu sur GKE sur Azure exécutent des versions d'OpenSSH vulnérables à ce problème.

Clusters GKE sur Azure avec des adresses IP de nœuds publics et SSH exposés au Internet doit être traité avec la priorité la plus élevée pour l'atténuation.


Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découvert dans OpenSSH. La faille exploite une condition de concurrence qui pourrait être utilisée pour accéder à un shell distant, ce qui permet aux attaquants d’obtenir un accès root vers les nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficiles et prennent plusieurs heures par machine attaquée. À notre connaissance, les tentatives d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024 : version corrigée de GKE sur Azure qui inclut une mise à jour OpenSSH qui sera disponible dès que possible. Ce bulletin seront mises à jour lorsque des correctifs seront disponibles. Nous vous recommandons de consulter les en suivant les étapes ci-dessous pour vérifier l'exposition de votre cluster et appliquer les mesures d'atténuation décrites nécessaires.

Déterminer si vos nœuds ont des adresses IP publiques

GKE sur Azure ne provisionne aucune machine avec adresses IP publiques ou avec des règles de pare-feu qui autorisent le trafic sur le port 22 par défaut. Pour examiner votre la configuration Azure pour vérifier si des adresses IP publiques sont configurées sur votre cluster GKE sur Azure, exécutez la commande suivante:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
Interdire l'accès SSH aux nœuds du cluster

Même si GKE sur Azure n'autorise le trafic sur le port 22 sur aucun nœud par défaut, les clients peuvent mettre à jour les règles NetworkSecurityGroup vers les pools de nœuds, ce qui permet d'activer le trafic SSH provenant de l'Internet public.

Nous vous recommandons vivement de vérifier les groupes de sécurité réseau (NSG) associés à sur vos clusters Kubernetes. Si une règle NSG autorise le trafic entrant sans restriction sur le port 22 (SSH), effectuez l'une des opérations suivantes:

  • Supprimez complètement la règle: si l'accès SSH aux nœuds du cluster n'est pas requises d’Internet, supprimez la règle pour éliminer les vecteurs d'attaque potentiels.
  • Limitez le champ d'application de la règle: limitez l'accès entrant sur le port 22 uniquement aux aux adresses IP ou plages d'adresses IP spécifiques qui l'exigent. Cela réduit la surface exposée au les attaques potentielles.
Convertir des pools de nœuds publics en pools de nœuds privés

Pour mieux protéger les clusters dotés de nœuds publics, nous vous recommandons d'interdire d'abord SSH via votre groupe de sécurité, comme décrit dans la section précédente. Si vous ne pouvez pas interdire SSH via les règles du groupe de sécurité, vous pouvez convertir les pools de nœuds publics en pools de nœuds privés en supprimant les adresses IP publiques associées aux VM.

Pour supprimer une adresse IP publique d'une VM et la remplacer par une adresse IP privée configuration, consultez Dissociez une adresse IP publique d'une VM Azure.

Impact : toutes les connexions existantes utilisant l'adresse IP publique perturbées. Assurez-vous que vous disposez d'autres méthodes d'accès, telles qu'un VPN ou Bastion Azure.


Critique

GDC (Bare Metal)

Dernière mise à jour : 02/07/2024

Description Gravité

Mise à jour du 02/07/2024 : version originale de ce bulletin pour Le logiciel GDC pour Bare Metal indiquait à tort que des versions de correctif étaient en cours. Le logiciel GDC pour Bare Metal n'est pas directement affecté, car il ne gère pas le le daemon ou la configuration SSH du système d'exploitation. Les versions de correctif sont donc de la responsabilité du fournisseur du système d'exploitation, tel que décrit dans Que dois-je faire ?.


Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découvert dans OpenSSH. La faille exploite une condition de concurrence qui pourrait être utilisée pour accéder à un shell distant, ce qui permet aux attaquants d’obtenir un accès root vers les nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficiles et prennent plusieurs heures par machine attaquée. À notre connaissance, les tentatives d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024 : contactez le fournisseur de votre système d'exploitation pour obtenir un correctif pour systèmes d'exploitation utilisés avec un logiciel GDC pour Bare Metal.

Tant que vous n'avez pas appliqué le correctif du fournisseur du système d'exploitation, assurez-vous que les machines accessibles publiquement autoriser les connexions SSH depuis Internet. Si ce n'est pas possible, vous pouvez aussi Définissez LoginGraceTime sur zéro et redémarrez le serveur sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Notez que ce changement de configuration peut augmenter le risque d'attaques par déni de service et peut causer des problèmes d'accès SSH légitime.


Texte original du 01/07/2024 (voir la précédente mise à jour du 02/07/2024 pour corriger l'erreur):

Critique

GCP-2024-039

Date de publication : 28/06/2024
Référence: CVE-2024-26923

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26923

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GDC (VMware)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26923

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26923

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26923

Que dois-je faire ?

En attente

GDC (Bare Metal)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26923

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-038

Date de publication : 26/06/2024
Référence: CVE-2024-26924

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26924

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GDC (VMware)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26924

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26924

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26924

Que dois-je faire ?

En attente

GDC (Bare Metal)

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26924

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-036

Date de publication : 18/06/2024
Référence: CVE-2024-26584

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26584

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26584

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26584

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26584

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26584

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-035

Date de publication : 12/06/2024
Dernière mise à jour : 18-07-2024
Référence: CVE-2024-26584

Mise à jour du 18/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE et ajout d'une version de correctif pour la version 1.27 sur les pools de nœuds Container-Optimized OS.

GKE

Dernière mise à jour : 18/07/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26584

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 18/07/2024 : Les versions suivantes de GKE sont mis à jour avec le code pour corriger cette faille sur Ubuntu. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

La version suivante de GKE a été mise à jour avec du code pour corriger cette faille sur Container-Optimized OS. Améliorez votre Utilisez les pools de nœuds Container-Optimized OS vers la version de correctif suivante ou ultérieure:

  • 1.27.15-gke.1125000

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Les versions mineures suivantes sont concernées, mais aucune version de correctif n'est disponible. Nous Mettez à jour ce bulletin lorsque des versions de correctif sont disponibles:

  • 1,26
  • 1.27

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26584

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26584

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26584

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26584

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-034

Date de publication : 11/06/2024
Dernière mise à jour : 10/07/2024
Référence: CVE-2024-26583

Mise à jour du 10/07/2024 : ajout de versions de correctif pour Nœuds Container-Optimized OS exécutant les versions mineures 1.26 et 1.27 et ajout de versions de correctif pour les nœuds Ubuntu.

GKE

Dernière mise à jour : 10/07/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26583

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 10/07/2024 : Les versions suivantes de GKE sont mis à jour avec le code nécessaire pour corriger cette faille. Mettez à niveau vos pools de nœuds Ubuntu vers l'un des versions de correctif suivantes ou ultérieures:

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

Pour les versions mineures 1.26 et 1.27, mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26583

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26583

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26583

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26583

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-033

Date de publication : 10/06/2024
Référence: CVE-2022-23222

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2022-23222

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2022-23222

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2022-23222

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2022-23222

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2022-23222

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-031

Date de publication : 24/05/2024
Référence: CVE-2024-4323

GKE

Description Gravité

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE n'utilise pas une version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE n'est pas affecté par cette faille. Vous n'avez rien à faire.

Aucun

GKE sur VMware

Description Gravité

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE sur VMware n'utilise pas une version vulnérable de Fluent Bit. non concernées.

Que dois-je faire ?

GKE sur VMware n'est pas affecté par cette faille. Vous n'avez rien à faire.

Aucun

GKE sur AWS

Description Gravité

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE sur AWS n'utilise pas une version vulnérable de Fluent Bit. non concernées.

Que dois-je faire ?

GKE sur AWS n'est pas affecté par cette faille. Vous n'avez rien à faire.

Aucun

GKE sur Azure

Description Gravité

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE sur Azure n'utilise pas une version vulnérable de Fluent Bit. non concernées.

Que dois-je faire ?

GKE sur Azure n'est pas affecté par cette faille. Vous n'avez rien à faire.

Aucun

GKE sur solution Bare Metal

Description Gravité

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont affectées.

GKE sur Bare Metal n'utilise pas une version vulnérable de Fluent Bit. non concernées.

Que dois-je faire ?

GKE sur Bare Metal n'est pas affecté par cette faille. Vous n'avez rien à faire.

Aucun

GCP-2024-030

Date de publication : 15-05-2024
Dernière mise à jour : 18-07-2024
Référence: CVE-2023-52620

Mise à jour du 18/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

GKE

Dernière mise à jour : 18/07/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52620

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 18/07/2024 : Les versions suivantes de GKE sont mis à jour avec le code pour corriger cette faille sur Ubuntu. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52620

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52620

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52620

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52620

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-029

Date de publication : 14-05-2024
Référence: CVE-2024-26642

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26642

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26642

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26642

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26642

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26642

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-028

Date de publication : 13/05/2024
Dernière mise à jour : 22-05-2024
Référence: CVE-2024-26581

Mise à jour du 22/05/2024 : ajout de versions de correctif pour les nœuds Ubuntu.

GKE

Dernière mise à jour : 22-05-2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26581

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 22/05/2024 : Les versions suivantes de GKE sont mis à jour avec le code pour corriger cette faille sur Ubuntu. Mettre à niveau vos pools de nœuds Ubuntu aux versions suivantes ou ultérieures:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26581

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26581

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26581

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26581

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-027

Date de publication : 08-05-2024
Mise à jour : 09-05-2024, 15-05-2024
Référence: CVE-2024-26808

Mise à jour du 15/05/2024 : ajout de versions de correctif pour GKE Pools de nœuds Ubuntu

Mise à jour du 09/05/2024 : correction de la gravité de "Moyenne" à "Élevée" clarifié que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

GKE

Dernière mise à jour : 09-05-2024, 15-05-2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26808

Mise à jour du 09/05/2024: correction de la gravité de "Moyenne" à "Élevée". Le bulletin initial indiquait qu'Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.


Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 15/05/2024:Les versions suivantes de GKE sont mis à jour avec le code pour corriger cette faille sur Ubuntu. Mettre à niveau vos pools de nœuds Ubuntu aux versions suivantes ou ultérieures:

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26808

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26808

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26808

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26808

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-026

Date de publication : 07/05/2024
Dernière mise à jour : 09-05-2024
Référence: CVE-2024-26643

Mise à jour du 09/05/2024 : correction de la gravité de "Moyenne" à "Élevée".

GKE

Dernière mise à jour : 09/05/2024

Description Gravité

Mise à jour du 09/05/2024:correction de la gravité de "Moyenne" à "Élevée".


Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26643

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26643

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26643

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26643

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26643

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-024

Date de publication : 25-04-2024
Dernière mise à jour : 18-07-2024
Référence: CVE-2024-26585

Mise à jour du 18/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

GKE

Dernière mise à jour : 18/07/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26585

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 18/07/2024 : Les versions suivantes de GKE sont mis à jour avec le code pour corriger cette faille sur Ubuntu. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26585

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26585

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26585

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26585

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-022

Date de publication : 03/04/2024
Dernière mise à jour : 17-07-2024
Référence: CVE-2023-45288

Mise à jour du 17/07/2024 : ajout de versions de correctif pour GKE sur VMware.
Mise à jour du 9 juillet 2024 : ajout de versions de correctif pour GKE sur Bare Metal.
Mise à jour du 24/04/2024 : ajout de versions de correctif pour GKE.

GKE

Dernière mise à jour : 24/04/2024

Description Gravité

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE sur lesquels des réseaux autorisés sont configurés sont protégés en limitant l'accès réseau, mais tous les autres clusters sont affectés.

Les clusters GKE Autopilot et Standard sont affectés.

Que dois-je faire ?

Mise à jour du 24/04/2024:ajout de versions de correctif pour GKE.

Les versions suivantes de GKE incluent les correctifs de sécurité Golang pour corriger cette faille. Mettez à niveau vos clusters GKE vers les versions suivantes ou ultérieures:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Atténuez les risques en configurant des réseaux autorisés pour l'accès au plan de contrôle:

Vous pouvez protéger vos clusters de cette catégorie d'attaques en configurant des réseaux autorisés. Suivez les instructions permettant d'activer les réseaux autorisés pour un cluster existant.

Pour en savoir plus sur la façon dont les réseaux autorisés contrôlent l'accès au plan de contrôle, consultez la section Fonctionnement des réseaux autorisés. Pour afficher l'accès réseau autorisé par défaut, consultez le tableau de la section Accès aux points de terminaison du plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Élevée

GKE sur VMware

Dernière mise à jour : 17/07/2024

Description Gravité

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Mise à jour du 17/07/2024:ajout de versions de correctif pour GKE sur VMware.

Les versions suivantes de GKE sur VMware incluent du code pour résoudre ce problème la faille. Mettez à niveau vos clusters GKE sur VMware vers les versions suivantes versions ou ultérieures:

  • 1.29.0
  • 1.28.500
  • 1.16.8

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE sur VMware intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Élevée

GKE sur AWS

Description Gravité

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE sur AWS intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Élevée

GKE sur Azure

Description Gravité

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE sur Azure intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Élevée

GKE sur solution Bare Metal

Dernière mise à jour : 09/07/2024

Description Gravité

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Mise à jour du 09/07/2024:ajout de versions de correctif pour GKE sur Bare Metal.

Les versions suivantes de GKE sur Bare Metal incluent du code pour résoudre ce problème la faille. Mettez à niveau vos clusters GKE sur Bare Metal vers les versions suivantes versions ou ultérieures:

  • 1.29.100
  • 1.28.600
  • 1.16.9

Le projet Golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE sur Bare Metal intégrant ces correctifs seront disponibles. Pour demander un correctif sur une période accélérée, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Élevée

GCP-2024-018

Date de publication : 12-03-2024
Dernière mise à jour : 06/05/2024
Référence: CVE-2024-1085

Mise à jour du 06/05/2024 : ajout de versions de correctif pour GKE Ubuntu pools de nœuds et supprimé un élément linéaire supplémentaire dans la mise à jour du 04/04/2024.

Mise à jour du 04/04/2024 : correction des versions minimales de Pools de nœuds GKE Container-Optimized OS.

GKE

Dernière mise à jour : 06/05/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-1085

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 06/05/2024:Les versions suivantes de GKE sont mis à jour avec le code pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers la les versions suivantes ou ultérieures.

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

Mise à jour du 04/04/2024:correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS.

Les versions minimales de GKE contenant les correctifs de Container-Optimized OS répertoriés précédemment étaient incorrectes. Les versions suivantes de GKE ont été mises à jour avec du code permettant de corriger cette faille sur Container-Optimized OS. Mettez à niveau vos pools de nœuds Container-Optimized OS vers les versions suivantes ou ultérieures:

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-1085

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-1085

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-1085

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-1085

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-017

Date de publication : 06/03/2024
Référence: CVE-2023-3611

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3611

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3611

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3611

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3611

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3611

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-014

Date de publication : 26/02/2024
Référence: CVE-2023-3776

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3776

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3776

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3776

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3776

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3776

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-013

Date de publication : 23/02/2024
Référence: CVE-2023-3610

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3610

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3610

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3610

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3610

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3610

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-012

Date de publication : 20/02/2024
Référence: CVE-2024-0193

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-0193

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-0193

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-0193

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-0193

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-0193

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-011

Date de publication : 15-02-2024
Référence: CVE-2023-6932

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-6932

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-6932

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-6932

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-6932

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-6932

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-010

Date de publication : 14/02/2024
Dernière mise à jour : 17-04-2024
Référence: CVE-2023-6931

Mise à jour du 17/04/2024 : ajout de versions de correctif pour GKE sur VMware.

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6931

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Dernière mise à jour : 17/04/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6931

Que dois-je faire ?

Mise à jour du 17/04/2024:ajout de versions de correctif pour GKE sur VMware.


Les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures:

  • 1.28.200
  • 1.16.6
  • 1.15.10


En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6931

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6931

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6931

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-008

Date de publication : 12-02-2024
Référence: CVE-2023-5528

GKE

Description Gravité

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows. d’une manière qui permette l’élévation des privilèges d’administrateur sur ces nœuds.

Clusters GKE Standard en cours d'exécution Windows Server et l'utilisation d'un plug-in de stockage "in-tree" peuvent être affectés.

Les clusters GKE Autopilot et les pools de nœuds GKE qui utilisent GKE Sandbox ne sont pas car ils ne prennent pas en charge les nœuds Windows Server.

Que dois-je faire ?

Déterminez si vous utilisez des nœuds Windows Server sur vos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Recherchez d'éventuelles preuves d'exploitation dans les journaux d'audit. Les journaux d'audit Kubernetes peuvent être audités déterminer si cette vulnérabilité est exploitée. des événements de création de volume persistant les champs de chemin d’accès local qui contiennent des caractères spéciaux sont une forte indication d’exploitation.

Mettez à jour votre cluster GKE et vos pools de nœuds vers une version corrigée. La Les versions suivantes de GKE ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons mise à niveau manuelle votre cluster et vos pools de nœuds Windows Server vers l'un des versions ou ultérieures:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows. d’une manière qui permette l’élévation des privilèges d’administrateur sur ces nœuds.

Élevée

GKE sur VMware

Description Gravité

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows. d’une manière qui permette l’élévation des privilèges d’administrateur sur ces nœuds.

Clusters GKE sur VMware en cours d'exécution Windows Server et l'utilisation d'un plug-in de stockage "in-tree" peuvent être affectés.

Que dois-je faire ?

Déterminez si vous utilisez des nœuds Windows Server sur vos clusters:

kubectl get nodes -l kubernetes.io/os=windows

Recherchez d'éventuelles preuves d'exploitation dans les journaux d'audit. Les journaux d'audit Kubernetes peuvent être audités déterminer si cette vulnérabilité est exploitée. des événements de création de volume persistant les champs de chemin d’accès local qui contiennent des caractères spéciaux sont une forte indication d’exploitation.

Mettez à jour votre cluster et vos pools de nœuds GKE sur VMware vers une version corrigée. La Les versions suivantes de GKE sur VMware ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons mise à niveau manuelle votre cluster et vos pools de nœuds Windows Server vers l'un des versions ou ultérieures:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows. d’une manière qui permette l’élévation des privilèges d’administrateur sur ces nœuds.

Élevée

GKE sur AWS

Description Gravité

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows. d’une manière qui permette l’élévation des privilèges d’administrateur sur ces nœuds.

Les clusters GKE sur AWS ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

Aucun

GKE sur Azure

Description Gravité

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows. d’une manière qui permette l’élévation des privilèges d’administrateur sur ces nœuds.

Les clusters GKE sur Azure ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

Aucun

GKE sur solution Bare Metal

Description Gravité

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows. d’une manière qui permette l’élévation des privilèges d’administrateur sur ces nœuds.

Les clusters GKE sur Bare Metal ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

Aucun

GCP-2024-005

Date de publication : 31/01/2024
Dernière mise à jour : 06/05/2024
Référence: CVE-2024-21626

Mise à jour du 06/05/2024: ajout de versions de correctif pour GKE sur AWS et GKE sur Azure.
Mise à jour du 02/04/2024: ajout de versions de correctif pour GKE sur Bare Metal
Mise à jour du 06/03/2024: ajout de versions de correctif pour GKE sur VMware
Mise à jour du 28/02/2024: ajout de versions de correctif pour Ubuntu
Mise à jour du 15/02/2024: il est précisé que les versions 1.25 et 1.26 du correctif Ubuntu dans la La mise à jour du 14/02/2024 peut entraîner des nœuds non opérationnels.
Mise à jour du 14/02/2024: ajout de versions de correctif pour Ubuntu
Mise à jour du 06/02/2024 : ajout de versions de correctif pour Container-Optimized OS.

GKE

Dernière mise à jour : 06/03/2024

Description Gravité

Une faille de sécurité, CVE-2024-21626, a été découverte dans la région runc, où Un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu pourrait obtenir un accès complet au système de fichiers du nœud.

Les clusters GKE Standard et Autopilot sont affectés.

Clusters utilisant GKE Sandbox ne sont pas affectées.

Que dois-je faire ?

Mise à jour du 28/02/2024: les versions suivantes de GKE disposent a été mis à jour avec le code pour corriger cette faille dans Ubuntu. Mettre à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Mise à jour du 15/02/2024: en raison d'un problème, les versions de correctif d'Ubuntu suivantes de la mise à jour du 14/02/2024 peut entraîner l'état non opérationnel de vos nœuds. À ne pas faire vers les versions de correctif suivantes. Nous mettrons à jour ce bulletin lorsque de nouveaux correctifs seront mis à jour pour Ubuntu sont disponibles pour 1.25 et 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Si vous avez déjà effectué la mise à niveau vers l'une de ces versions de correctif, passer à une version antérieure manuellement votre pool de nœuds vers une version antérieure.


Mise à jour du 14/02/2024: les versions suivantes de GKE disposent a été mis à jour avec le code pour corriger cette faille dans Ubuntu. Mettre à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Mise à jour du 06/02/2024: Les versions suivantes de GKE disposent a été mis à jour avec le code nécessaire pour corriger cette faille dans Container-Optimized OS. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons mise à niveau manuelle votre cluster et vos pools de nœuds Container-Optimized OS à l'un des Versions de GKE ou ultérieures:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.


Nous mettons à jour GKE avec du code pour corriger cette faille. Nous mettrons à jour un bulletin lorsque des versions de correctif sont disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans le cadre de ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le runc init qui s'exécute dans un conteneur. runc a également effectué ne pas vérifier que le répertoire de travail final d'un conteneur se trouve dans le répertoire espace de noms. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires pourrait utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de répertoire de travail. pour accéder à l'espace de noms d'installation d'hôte d'un nœud et accéder à l'intégralité de l'hôte système de fichiers et écraser les binaires arbitraires sur le nœud.

Élevée

GKE sur VMware

Dernière mise à jour : 06/03/2024

Description Gravité

Une faille de sécurité, CVE-2024-21626, a été découverte dans la région runc, où Un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu pourrait obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/03/2024: Les versions suivantes de GKE sur VMware incluent a été mis à jour avec le code nécessaire pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Des versions de correctif et une évaluation de la gravité sont en cours pour GKE sur VMware. Nous mettrons à jour ce bulletin en y ajoutant ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans le cadre de ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le runc init qui s'exécute dans un conteneur. runc a également effectué ne pas vérifier que le répertoire de travail final d'un conteneur se trouve dans le répertoire espace de noms. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires pourrait utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de répertoire de travail. pour accéder à l'espace de noms d'installation d'hôte d'un nœud et accéder à l'intégralité de l'hôte système de fichiers et écraser les binaires arbitraires sur le nœud.

Élevée

GKE sur AWS

Dernière mise à jour : 06/05/2024

Description Gravité

Une faille de sécurité, CVE-2024-21626, a été découverte dans la région runc, où Un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu pourrait obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/05/2024: Les versions suivantes de GKE sur AWS disposent a été mis à jour avec des correctifs pour CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Des versions de correctif et une évaluation de la gravité sont en cours pour GKE sur AWS. Nous mettrons à jour ce bulletin en y ajoutant ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans le cadre de ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le runc init qui s'exécute dans un conteneur. runc a également effectué ne pas vérifier que le répertoire de travail final d'un conteneur se trouve dans le répertoire espace de noms. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires pourrait utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de répertoire de travail. pour accéder à l'espace de noms d'installation d'hôte d'un nœud et accéder à l'intégralité de l'hôte système de fichiers et écraser les binaires arbitraires sur le nœud.

Élevée

GKE sur Azure

Dernière mise à jour : 06/05/2024

Description Gravité

Une faille de sécurité, CVE-2024-21626, a été découverte dans la région runc, où Un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu pourrait obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/05/2024: Les versions suivantes de GKE sur Azure a été mis à jour avec des correctifs pour CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Des versions de correctif et une évaluation de la gravité sont en cours pour GKE sur Azure. Nous mettrons à jour ce bulletin en y ajoutant ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans le cadre de ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le runc init qui s'exécute dans un conteneur. runc a également effectué ne pas vérifier que le répertoire de travail final d'un conteneur se trouve dans le répertoire espace de noms. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires pourrait utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de répertoire de travail. pour accéder à l'espace de noms d'installation d'hôte d'un nœud et accéder à l'intégralité de l'hôte système de fichiers et écraser les binaires arbitraires sur le nœud.

Élevée

GKE sur solution Bare Metal

Dernière mise à jour : 02/04/2024

Description Gravité

Une faille de sécurité, CVE-2024-21626, a été découverte dans la région runc, où un utilisateur autorisé à créer des pods peut obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 02/04/2024: Les versions suivantes de GKE sur Bare Metal ont a été mis à jour avec le code nécessaire pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures:

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

Des versions de correctif et une évaluation de la gravité sont en cours pour GKE sur Bare Metal. Nous mettrons à jour ce bulletin en y ajoutant ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de générer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions de runc antérieures aux correctifs publiés dans le cadre de ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le runc init qui s'exécute dans un conteneur. runc a également effectué ne pas vérifier que le répertoire de travail final d'un conteneur se trouve dans le répertoire espace de noms. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires pourrait utiliser une combinaison de descripteurs de fichier divulgués et de l'absence de répertoire de travail. pour accéder à l'espace de noms d'installation d'hôte d'un nœud et accéder à l'intégralité de l'hôte système de fichiers et écraser les binaires arbitraires sur le nœud.

Élevée

GCP-2024-004

Date de publication : 24/01/2024
Dernière mise à jour : 07/02/2024
Référence: CVE-2023-6817

Mise à jour du 07/02/2024 : ajout de versions de correctif pour Ubuntu.

GKE

Dernière mise à jour : 07/02/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6817

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 07/02/2024:les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6817

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6817

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6817

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6817

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2024-003

Date de publication : 19/01/2024
Dernière mise à jour : 26/01/2024
Mise à jour du 26/01/2024 : clarification du nombre de clusters affectés et des actions que nous avons prises pour en atténuer l'impact.

GKE

Dernière mise à jour : 26/01/2024

Description Gravité

Mise à jour du 26/01/2024: une étude sur la sécurité a révélé qu'un petit nombre les clusters GKE avec une erreur de configuration créée par le client impliquant le groupe system:authenticated a été publié. Blog du chercheur fait référence à 1 300 clusters avec des liaisons mal configurées, et 108 avec des liaisons élevées de droits. Nous avons travaillé en étroite collaboration avec les clients concernés pour les en informer et les aider à résoudre en supprimant leurs liaisons mal configurées.


Nous avons identifié plusieurs clusters sur lesquels des utilisateurs ont accordé à Kubernetes d'accorder des droits au groupe system:authenticated, qui inclut tous d'utilisateurs disposant d'un compte Google. Ces types de liaisons ne sont pas recommandées, car elles enfreignent le principe du moindre privilège et accordent l'accès à de très grands groupes d'utilisateurs. Consultez la section "Que dois-je faire ?" pour en savoir plus. pour des instructions sur la façon de trouver ces types de liaisons.

Récemment, un chercheur en sécurité a rapporté les découvertes de clusters avec RBAC grâce à notre programme de signalement des failles.

L'approche de Google en matière d'authentification consiste à rendre l'authentification auprès de Google Cloud GKE est aussi simple et sécurisé que possible sans ajouter d'étapes de configuration complexes. L'authentification nous indique simplement qui est l'utilisateur. L'autorisation est où l'accès est déterminé. Ainsi, le groupe system:authenticated dans GKE, qui contient tous les utilisateurs authentifiés via le fournisseur d'identité de Google, fonctionne comme prévu et fonctionne de la même manière que la allAuthenticatedUsers.

C'est pourquoi nous avons pris plusieurs mesures pour réduire le risque que les utilisateurs faire des erreurs d'autorisation avec les utilisateurs intégrés à Kubernetes et groupes, dont system:anonymous, system:authenticated et system:unauthenticated. Tout de ces utilisateurs/groupes présentent un risque pour le cluster si des autorisations sont accordées. Mer certaines des activités malveillantes ciblant les erreurs de configuration du RBAC les défenses disponibles Kubecon en novembre 2023.

Pour protéger les utilisateurs contre les erreurs d'autorisation accidentelles avec ces systèmes utilisateurs/groupes, nous avons:

  • Par les nouvelles liaisons du ClusterRole à privilèges élevés De cluster-admin à l'utilisateur system:anonymous du groupe system:authenticated ou groupe system:unauthenticated dans la version 1.28 de GKE.
  • Intégrer des règles de détection dans des événements Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) Security Command Center.
  • Intégration de règles de prévention configurables dans Policy Controller avec K8sRestrictRoleBindings
  • Des notifications par e-mail ont été envoyées à tous les utilisateurs de GKE avec des liaisons à ces des utilisateurs/groupes en leur demandant de vérifier leur configuration.
  • des fonctionnalités d'autorisation réseau et des recommandations visant à restreindre l'accès réseau aux clusters en tant que première couche la défense.
  • Sensibilisation accrue à ce problème grâce à une conférence à Kubecon en novembre 2023.

Les clusters qui appliquent des autorisations réseaux et disposent d'une première ligne de défense: elles ne peuvent pas être attaquées. directement depuis Internet. Mais nous recommandons toujours de supprimer ces liaisons pour une défense en profondeur et une protection contre les erreurs dans les contrôles du réseau.
Notez qu'il existe de nombreux cas dans lesquels des liaisons avec des utilisateurs système Kubernetes ou des groupes sont utilisés intentionnellement: par exemple, pour kubeadm bootstrap, le rancher tableau de bord et Bitnami secrets scellés. Nous avons confirmé auprès de ces fournisseurs de logiciels que ces les liaisons fonctionnent comme prévu.

Nous étudions des moyens de renforcer notre protection contre le RBAC des utilisateurs les erreurs de configuration avec ces utilisateurs/groupes système par le biais de mesures de prévention la détection automatique.

Que dois-je faire ?

Pour éviter toute nouvelle liaison de cluster-admin à l'utilisateur system:anonymous, Groupe system:authenticated ou Groupe Les utilisateurs de system:unauthenticated peuvent passer à GKE v1.28 ou plus tard (version notes), où la création de ces liaisons est bloquée.

Les liaisons existantes doivent être examinées en suivant suivez ces consignes.

Moyenne

GKE sur VMware

Aucune mise à jour pour le moment.

GKE sur AWS

Aucune mise à jour pour le moment.

GKE sur Azure

Aucune mise à jour pour le moment.

GKE sur solution Bare Metal

Aucune mise à jour pour le moment.

GCP-2024-002

Date de publication : 17/01/2024
Dernière mise à jour : 20/02/2024
Référence: CVE-2023-6111

Mise à jour du 20/02/2024 : ajout de versions de correctif pour GKE sur VMware.

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS.

  • CVE-2023-6111

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Dernière mise à jour : 20/02/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS.

  • CVE-2023-6111

Que dois-je faire ?

Mise à jour du 20/02/2024:les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures: 1.28.100


En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS.

  • CVE-2023-6111

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS.

  • CVE-2023-6111

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS.

  • CVE-2023-6111

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-051

Date de publication : 28/12/2023
Référence: CVE-2023-3609

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3609

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés dans la configuration par défaut, mais ils peuvent être vulnérables si vous définissez explicitement le profil Unconfined seccomp ou autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3609

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3609

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3609

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3609

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-050

Date de publication : 27/12/2023
Référence: CVE-2023-3389

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3389

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3389

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3389

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3389

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3389

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-049

Date de publication : 20/12/2023
Référence: CVE-2023-3090

GKE

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3090

Les clusters GKE Standard sont affectés. GKE Les clusters Autopilot de la configuration par défaut ne sont pas affectés, mais peuvent l'être vulnérable si vous définissez explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3090

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3090

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3090

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3090

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-048

Date de publication : 15/12/2023
Mise à jour : 21-12-2023
Référence: CVE-2023-3390

Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

GKE

Mise à jour : 21/12/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3390

Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3390

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3390

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3390

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3390

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-047

Date de publication : 14/12/2023

GKE

Description Gravité

Un attaquant qui a compromis le conteneur de journalisation Fluent Bit pourrait combiner cela un accès avec les droits élevés requis par Cloud Service Mesh (sur les clusters ayant l'avoir activée) pour élever les privilèges du cluster. Les problèmes avec Fluent Bit et Les problèmes liés à Cloud Service Mesh ont été réduits, et des correctifs sont maintenant disponibles. Ces failles ne sont pas exploitables par elles-mêmes dans GKE et nécessitent une compromission initiale. À notre connaissance, aucune exploitation de ces failles n'a été enregistrée.

Ces problèmes ont été signalés via notre Programme de récompenses pour la détection de failles.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles dans Fluent Bit et pour les utilisateurs de Cloud Service Mesh géré. Pour même si la mise à niveau automatique des nœuds est activée, vous mise à niveau manuelle votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes plus tard:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Une fonctionnalité récente de versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une chaîne. Cela permet vous sécurisez vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut version disponible

Si votre cluster utilise le maillage de services Cloud Service intégré au cluster, vous devez effectuer manuellement une mise à niveau vers l'une les versions suivantes (notes de version):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Les failles traitées par ce bulletin exigent qu'un attaquant compromette le Conteneur de journalisation Fluent Bit. Nous n'avons connaissance d'aucune faille Fluent Bit qui conduirait à cette condition préalable à l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer les mesures prises pour éviter tout risque toute la chaîne d’attaque à l’avenir

GKE utilise Fluent Bit pour traiter les journaux des charges de travail exécutées sur des clusters. Fluent Bit sur GKE a également été configuré pour collecter des journaux pour charges de travail Cloud Run. L'installation de volume configurée pour collecter ces journaux a donné Accès Fluent Bit aux jetons de compte de service Kubernetes pour les autres pods exécutés sur le d'un nœud. Le chercheur a utilisé cet accès pour découvrir un compte de service hautement privilégié pour les clusters sur lesquels Cloud Service Mesh est activé.

Cloud Service Mesh avait besoin de droits élevés pour apporter les modifications nécessaires à un configuration du cluster, y compris la possibilité de créer et de supprimer des pods. La a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour faire remonter ses privilèges initiaux compromis en créant un nouveau pod avec droits d'administrateur de cluster

Nous avons supprimé l'accès de Fluent Bit aux jetons du compte de service et avons Refonte des fonctionnalités de Cloud Service Mesh pour supprimer les droits en excès.

Moyenne

GKE sur VMware

Description Gravité

Seuls les clusters GKE sur VMware utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise le maillage de services Cloud Service intégré au cluster, vous devez effectuer manuellement la mise à niveau vers l'une des versions suivantes : (notes de version):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour résoudre les failles dans ce bulletin, le pirate informatique doit d'abord effectuer l'une des opérations suivantes : compromettre, sortir d'un conteneur ou disposer d'une racine sur un nœud de cluster. Mer n'ont connaissance d'aucune faille pouvant entraîner pour l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer des mesures pour empêcher une chaîne d’attaque complète potentielle à l’avenir.

Cloud Service Mesh avait besoin de droits élevés pour apporter les modifications nécessaires à un configuration du cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour faire remonter des droits initialement compromis en créant un pod avec les droits d'administrateur de cluster.

Nous avons repensé les fonctionnalités de Cloud Service Mesh afin de supprimer de droits.

Moyenne

GKE sur AWS

Description Gravité

Seuls les clusters GKE sur AWS qui utilisent Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise le maillage de services Cloud Service intégré au cluster, vous devez mise à niveau manuelle vers l'une des versions suivantes : (notes de version):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour résoudre les failles dans ce bulletin, le pirate informatique doit d'abord effectuer l'une des opérations suivantes : compromettre, sortir d'un conteneur ou disposer d'une racine sur un nœud de cluster. Nous s'il existe des failles susceptibles d'entraîner cette condition préalable. pour l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer empêcher une chaîne d’attaque complète potentielle à l’avenir.

Cloud Service Mesh avait besoin de droits élevés pour apporter les modifications nécessaires à un configuration du cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour faire remonter des droits initialement compromis en créant un pod avec les droits d'administrateur de cluster.

Nous avons repensé les fonctionnalités de Cloud Service Mesh afin de supprimer de droits.

Moyenne

GKE sur Azure

Description Gravité

Seuls les clusters GKE sur Azure utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise le maillage de services Cloud Service intégré au cluster, vous devez mise à niveau manuelle vers l'une des versions suivantes : (notes de version):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour résoudre les failles dans ce bulletin, le pirate informatique doit d'abord effectuer l'une des opérations suivantes : compromettre, sortir d'un conteneur ou disposer d'une racine sur un nœud de cluster. Nous s'il existe des failles susceptibles d'entraîner cette condition préalable. pour l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer pour empêcher une chaîne d’attaque complète potentielle à l’avenir.

Cloud Service Mesh avait besoin de droits élevés pour apporter les modifications nécessaires à un configuration du cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour faire remonter des droits initialement compromis en créant un pod avec les droits d'administrateur de cluster.

Nous avons repensé les fonctionnalités de Cloud Service Mesh afin de supprimer de droits.

Moyenne

GKE sur solution Bare Metal

Description Gravité

Seuls les clusters GKE sur Bare Metal utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise le maillage de services Cloud Service intégré au cluster, vous devez effectuer manuellement la mise à niveau vers l'une des versions suivantes : (notes de version):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour résoudre les failles dans ce bulletin, le pirate informatique doit d'abord effectuer l'une des opérations suivantes : compromettre, sortir d'un conteneur ou disposer d'une racine sur un nœud de cluster. Nous s'il existe des failles susceptibles d'entraîner cette condition préalable. pour l'élévation des privilèges. Nous avons corrigé ces failles afin de renforcer empêcher une chaîne d’attaque complète potentielle à l’avenir.

Anthos Service Mesh exigeait des droits élevés pour apporter les modifications nécessaires à un configuration du cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour faire remonter des droits initialement compromis en créant un pod avec les droits d'administrateur de cluster.

Nous avons repensé les fonctionnalités de Cloud Service Mesh afin de supprimer de droits.

Moyenne

GCP-2023-046

Date de publication : 22/11/2023
Dernière mise à jour : 04-03-2024
Référence: CVE-2023-5717

Mise à jour du 04/03/2024 : ajout de versions de GKE pour GKE sur VMware.

Mise à jour du 22/01/2024 : ajout de versions du correctif Ubuntu.

GKE

Dernière mise à jour : 22/01/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5717

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 22/01/2024: les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Dernière mise à jour : 29/02/2024

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5717

Que dois-je faire ?

Mise à jour du 04/03/2024: Les versions suivantes de GKE sur VMware sont mis à jour avec le code nécessaire pour corriger cette faille. Mettre à niveau vos clusters aux versions suivantes ou ultérieures:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Élevée

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5717

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5717

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5717

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-045

Date de publication : 20/11/2023
Dernière mise à jour : 21/12/2023
Référence: CVE-2023-5197

Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

GKE

Mise à jour : 21/12/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5197

Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

Les versions mineures suivantes sont concernées. Améliorez votre Pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieure:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version du correctif devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5197

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5197

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5197

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5197

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-042

Date de publication : 13/11/2023
Dernière mise à jour : 15/11/2023
Référence: CVE-2023-4147

Mise à jour du 15/11/2023 : préciser que seules les versions mineures indiquées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

GKE

Dernière mise à jour : 15/11/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4147

Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot ne sont pas affectés.

Les clusters utilisant GKE Sandbox ne sont pas affectés.

Que dois-je faire ?

Mise à jour du 15/11/2023: il vous suffit de passer à l'une des versions corrigées répertoriés dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Par exemple, Si vous utilisez GKE version 1.27, vous devez effectuer une mise à niveau vers le correctif version. Toutefois, si vous utilisez la version 1.24 de GKE, vous n'avez pas besoin de passer à une version corrigée.


Améliorez votre des pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

Vous pouvez appliquer des versions de correctif issues de versions plus récentes si votre cluster exécute la même mineure dans son propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds la version corrigée devient la version par défaut de votre version disponible. Pour en savoir plus, consultez Exécutez des versions de correctif à partir d'une version plus récente.

Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4147

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4147

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4147

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4147

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-041

Date de publication : 08/11/2023
Mise à jour : 21-11-2023, 05-12-2023, 21-12-2023
Référence: CVE-2023-4004

Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

Mise à jour du 05/12/2023 : ajout de versions GKE supplémentaires pour les pools de nœuds Container-Optimized OS.

Mise à jour du 21/11/2023 : précisez que seules les versions mineures listées doivent être mises à niveau vers une version de correctif correspondante pour GKE.

GKE

Mise à jour : 21-11-2023, 05-12-2023, 21-12-2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4004

Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 05/12/2023 : Certaines versions de GKE étaient auparavant sont manquantes. Voici une liste à jour des versions de GKE que vous pouvez mettez à jour Container-Optimized OS pour:

  • 1.24.17-gke.200 ou version ultérieure
  • 1.25.13-gke.200 et versions ultérieures
  • 1.26.8-gke.200 et versions ultérieures
  • 1.27.4-gke.2300 ou version ultérieure
  • 1.28.1-gke.1257000 ou version ultérieure

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4004

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4004

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4004

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4004

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-040

Date de publication : 06/11/2023
Mise à jour : 21-11-2023, 21-12-2023
Référence: CVE-2023-4921

Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

Mise à jour du 21/11/2023 : précisez que seules les versions mineures listées doivent être mises à niveau vers une version de correctif correspondante pour GKE.

GKE

Mise à jour : 21/11/2023, 21/12/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4921

Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4921

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4921

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4921

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4921

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-039

Date de publication : 06/11/2023
Dernière mise à jour : 21/11/2023, 16/11/2023
Référence: CVE-2023-4622

Mise à jour du 21/11/2023 : précisez que seules les versions mineures listées doivent être mises à niveau vers une version de correctif correspondante pour GKE.

Mise à jour du 16/11/2023 : la faille associée à ce bulletin de sécurité est la faille CVE-2023-4622. La faille CVE-2023-4623 a été répertoriée à tort comme étant la faille dans une version précédente du bulletin de sécurité.

GKE

Dernière mise à jour : 21/11/2023, 16/11/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Élevée

GKE sur VMware

Dernière mise à jour : 16/11/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Que dois-je faire ?

En attente

GKE sur AWS

Dernière mise à jour : 16/11/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Que dois-je faire ?

En attente

GKE sur Azure

Dernière mise à jour : 16/11/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Dernière mise à jour : 16/11/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-038

Date de publication : 06/11/2023
Mise à jour : 21-11-2023, 21-12-2023
Référence: CVE-2023-4623

Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

Mise à jour du 21/11/2023 : précisez que seules les versions mineures listées doivent être mises à niveau vers une version de correctif correspondante pour GKE.

GKE

Mise à jour : 21/11/2023, 21/12/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-037

Date de publication : 06/11/2023
Mise à jour : 21-11-2023, 21-12-2023
Référence: CVE-2023-4015

Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

Mise à jour du 21/11/2023 : précisez que seules les versions mineures listées doivent être mises à niveau vers une version de correctif correspondante pour GKE.

GKE

Mise à jour : 21/11/2023, 21/12/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4015

Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

  • 1.27.5-gke.1647000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4015

Que dois-je faire ?

En attente

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4015

Que dois-je faire ?

En attente

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4015

Que dois-je faire ?

En attente

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4015

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Aucun

GCP-2023-035

Date de publication : 26/10/2023
Mise à jour : 21-11-2023, 21-12-2023
Référence: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

Mise à jour du 21/11/2023 : précisez que seules les versions mineures listées doivent être mises à niveau vers une version de correctif correspondante pour GKE.

GKE

Mise à jour : 21/11/2023, 21/12/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Que dois-je faire ?

Élevée

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Que dois-je faire ?

Élevée

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Que dois-je faire ?

Élevée

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal ne sont pas affectés, car il n'inclut pas de système d'exploitation dans sa distribution.

Élevée

GCP-2023-033

Date de publication : 24/10/2023
Mise à jour : 21-11-2023, 21-12-2023
Référence: CVE-2023-3777

Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, et les charges de travail GKE Sandbox ne sont pas affectées.

Mise à jour du 21/11/2023 : précisez que seules les versions mineures listées doivent être mises à niveau vers une version de correctif correspondante pour GKE.

GKE

Mise à jour : 21/11/2023, 21/12/2023

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3777

Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN. Les charges de travail GKE Sandbox ne sont pas non plus affectées.

Les clusters Autopilot sont concernés.

Les clusters qui utilisent GKE Sandbox sont affectés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous ne devez effectuer une mise à niveau que vers l'une des versions de correctif répertoriées dans ce bulletin si vous utilisez cette version mineure dans vos nœuds. Les versions mineures non répertoriées ne sont pas affectées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou une version ultérieure:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Élevée

GKE sur VMware

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3777

Que dois-je faire ?

GKE sur AWS

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3777

Que dois-je faire ?

GKE sur Azure

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3777

Que dois-je faire ?

GKE sur solution Bare Metal

Description Gravité

Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peuvent entraîner à une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3777

Que dois-je faire ?

Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté, car il n'inclut aucun système d'exploitation dans sa distribution.

GCP-2023-030

Date de publication : 10/10/2023
Dernière mise à jour : 20/03/2024
Référence: CVE-2023-44487CVE-2023-39325

Mise à jour du 20/03/2024 : ajout de versions de correctif pour GKE sur AWS et GKE sur Azure
Mise à jour du 14/02/2024 : ajout de versions de correctif pour GKE sur VMware
Mise à jour du 09/11/2023 : ajout de la faille CVE-2023-39325. Versions de GKE mises à jour avec les derniers correctifs pour CVE-2023-44487 et CVE-2023-39325.

GKE

Dernière mise à jour : 09/11/2023

Description Gravité

Une faille de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), dont le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE sur lesquels des réseaux autorisés sont configurés sont protégés en limitant l'accès réseau, mais tous les autres clusters sont affectés.

Que dois-je faire ?

Mise à jour du 09/11/2023:de nouvelles versions de GKE qui incluent les correctifs de sécurité Go et Kubernetes, que vous pouvez mettre à jour vos clusters. Dans les semaines à venir, nous publierons d'autres des modifications au plan de contrôle GKE pour atténuer davantage ce problème.

Les versions suivantes de GKE ont été mises à jour avec des correctifs pour CVE-2023-44487 et CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Nous vous recommandons d'appliquer les mesures d'atténuation suivantes dès que possible et d'effectuer une mise à niveau vers la dernière version corrigée dès que possible.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en vous indiquant la version à mettre à niveau pour votre plan de contrôle. Les correctifs seront également visibles dans la stratégie de sécurité de GKE s'ils sont disponibles pour votre cluster. Pour recevoir une notification Pub/Sub lorsqu'un correctif est disponible pour votre canal, activez les notifications de cluster.

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Atténuez le problème en configurant des réseaux autorisés pour l'accès au plan de contrôle:

Vous pouvez ajouter des réseaux autorisés pour les clusters existants. Pour en savoir plus, consultez la section Réseau autorisé pour les clusters existants.

En plus des réseaux autorisés que vous ajoutez, des adresses IP prédéfinies peuvent accéder au plan de contrôle GKE. Pour en savoir plus sur ces adresses, consultez la section Accès aux points de terminaison du plan de contrôle. Les éléments suivants résument l'isolation du cluster:

  • Les clusters privés avec --master-authorized-networks et les clusters basés sur PSC pour lesquels --master-authorized-networks et --no-enable-google-cloud sont configurés sont les plus isolés.
  • Les anciens clusters publics avec --master-authorized-networks et les clusters basés sur PSC pour lesquels --master-authorized-networks et --enable-google-cloud (par défaut) sont configurés sont également accessibles par les éléments suivants:
    • Adresses IP publiques de toutes les VM Compute Engine dans Google Cloud
    • Adresses IP Google Cloud Platform

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle GKE.

Élevée

GKE sur VMware

Dernière mise à jour : 14-02-2024

Description Gravité

Une faille de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), dont le serveur HTTP golang utilisé par Kubernetes. La vulnérabilité pourrait entraîner un DoS du plan de contrôle Kubernetes. GKE sur VMware crée des clusters Kubernetes qui ne sont pas directement accessibles à Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 14/02/2024 : Les versions suivantes de GKE sur VMware sont mis à jour avec le code nécessaire pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes versions correctives ou ultérieures:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Si vous avez configuré vos clusters GKE sur VMware pour un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de contacter votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons d'installer dès que possible la dernière version du correctif, le cas échéant.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en indiquant la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Élevée

GKE sur AWS

Description Gravité

Une faille de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), dont le serveur HTTP golang utilisé par Kubernetes. La vulnérabilité pourrait entraîner un DoS du plan de contrôle Kubernetes. GKE sur AWS crée des clusters Kubernetes privés qui ne sont pas directement accessibles à Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 20/03/2024:les versions suivantes de GKE sur AWS ont été mises à jour avec des correctifs pour CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Si vous avez configuré GKE sur AWS pour disposer d'un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de contacter votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons d'installer dès que possible la dernière version du correctif, le cas échéant.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en indiquant la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Élevée

GKE sur Azure

Description Gravité

Une faille de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), dont le serveur HTTP golang utilisé par Kubernetes. La vulnérabilité pourrait entraîner un DoS du plan de contrôle Kubernetes. GKE sur Azure crée des clusters Kubernetes privés qui ne sont pas directement accessibles à Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 20/03/2024:les versions suivantes de GKE sur Azure ont été mises à jour avec des correctifs pour CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Si vous avez configuré vos clusters GKE sur Azure pour disposer d'un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de contacter votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons d'installer dès que possible la dernière version du correctif, le cas échéant.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en indiquant la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Élevée

GKE sur solution Bare Metal

Description Gravité

Une faille de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), dont le serveur HTTP golang utilisé par Kubernetes. La vulnérabilité pourrait entraîner un DoS du plan de contrôle Kubernetes. Anthos sur Bare Metal crée des clusters Kubernetes qui ne sont pas directement accessibles à Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Si vous avez configuré vos clusters Kubernetes Anthos sur bare metal pour un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de contacter l'administrateur de votre pare-feu pour bloquer ou limiter cet accès. Pour en savoir plus, consultez la présentation de la sécurité dans GKE sur Bare Metal.

Nous vous recommandons d'installer dès que possible la dernière version du correctif, le cas échéant.

Les correctifs de Golang seront publiés le 10 octobre. Une fois ces correctifs disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs, puis nous publierons une version corrigée de GKE. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin en indiquant la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Élevée

GCP-2023-026

Date de publication : 06/09/2023
Référence: CVE-2023-3676, CVE-2023-3955 CVE-2023-3893

GKE

Description Gravité

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Les clusters GKE ne sont affectés que s'ils incluent des nœuds Windows.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour résoudre ce problème la faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons mettre à niveau manuellement votre votre cluster et vos pools de nœuds à l'une des versions de GKE suivantes:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

Le plan de contrôle GKE sera mis à jour la semaine du 04/09/2023 afin de mettre à jour csi-proxy à la version 1.1.3. Si vous mettez à jour vos nœuds avant la mise à jour du plan de contrôle, vous devrez à nouveau mettre à jour vos nœuds après la mise à jour pour bénéficier des nouvelles proxy. Vous pouvez à nouveau mettre à jour les nœuds, même sans modifier leur version, en exécutant la commande gcloud container clusters upgrade et en transmettant l'option --cluster-version avec la même version de GKE que celle du nœud. est déjà en cours d'exécution. Vous devez utiliser la gcloud CLI pour cette solution de contournement. Notez que cela entraînera une mise à jour, quelle que soit intervalles de maintenance.

Une fonctionnalité récente de versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une chaîne. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut version disponible.

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-3676, un individu malveillant peut créer une spécification de pod avec des chaînes de chemin d'accès à l'hôte qui contiennent des commandes PowerShell. Le kubelet n'effectue pas de nettoyage des entrées de chemin d'accès à l'exécuteur de commandes en tant qu'argument où il exécuterait des parties du sous forme de commandes distinctes. Ces commandes s'exécuteraient avec le même que celui de Kubelet.

Avec la CVE-2023-3955, Kubelet permet aux utilisateurs autorisés à créer des pods d'exécuter du code au même niveau d'autorisation que l'agent Kubelet : les autorisations privilégiées.

Avec la CVE-2023-3893, une absence similaire d'assainissement des entrées permet à un utilisateur de créer des pods sur Nœuds Windows exécutant kubernetes-csi-proxy pour passer aux droits d'administrateur sur ces nœuds

Les journaux d'audit Kubernetes peuvent être utilisés pour détecter si cette faille est exploitée. Série d'annonces créer des événements avec des commandes PowerShell intégrées sont une forte indication d’exploitation. ConfigMaps et Secrets contenant des commandes PowerShell intégrées et installés dans Les pods sont aussi un signe fort d'exploitation.

Élevée

GKE sur VMware

Description Gravité

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Les clusters ne sont affectés que s'ils incluent des nœuds Windows.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-3676, un individu malveillant peut créer une spécification de pod avec des chaînes de chemin d'accès à l'hôte qui contiennent des commandes PowerShell. Le kubelet n'effectue pas de nettoyage des entrées de chemin d'accès à l'exécuteur de commandes en tant qu'argument où il exécuterait des parties du sous forme de commandes distinctes. Ces commandes s'exécuteraient avec le même que celui de Kubelet.

Avec la CVE-2023-3955, Kubelet permet aux utilisateurs autorisés à créer des pods d'exécuter du code au même niveau d'autorisation que l'agent Kubelet : les autorisations privilégiées.

Avec la CVE-2023-3893, une absence similaire d'assainissement des entrées permet à un utilisateur de créer des pods sur Nœuds Windows exécutant kubernetes-csi-proxy pour passer aux droits d'administrateur sur ces nœuds

Les journaux d'audit Kubernetes peuvent être utilisés pour détecter si cette faille est exploitée. Série d'annonces créer des événements avec des commandes PowerShell intégrées sont une forte indication d’exploitation. ConfigMaps et Secrets contenant des commandes PowerShell intégrées et installés dans Les pods sont aussi un signe fort d'exploitation.

Élevée

GKE sur AWS

Description Gravité

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Que dois-je faire ?

GKE sur AWS n'est pas affecté par ces failles CVE. Aucune action n'est requise.

Aucun

GKE sur Azure

Description Gravité

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Que dois-je faire ?

GKE sur Azure n'est pas affecté par ces failles CVE. Aucune action n'est requise.

Aucun

GKE sur solution Bare Metal

Description Gravité

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Que dois-je faire ?

GKE sur Bare Metal n'est pas affecté par ces failles CVE. Aucune action n'est requise.

Aucun

GCP-2023-018

Date de publication : 27/06/2023
Référence: CVE-2023-2235

GKE

Description Gravité

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE Autopilot sont affectés, car les nœuds GKE Autopilot utilisent toujours des images de nœuds Container-Optimized OS. Les clusters GKE Standard avec les versions 1.25 ou ultérieure qui exécutent des images de nœuds Container-Optimized OS sont affectés.

Les clusters GKE ne sont pas affectés s'ils exécutent uniquement des images de nœuds Ubuntu, s'ils exécutent des versions antérieures à la version 1.25 ou s'ils utilisent GKE Sandbox.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles sont corrigées ?

Avec la faille CVE-2023-2235, la fonction perf_group_detach n'a pas vérifié les éléments "frères et sœurs" de l'événement attach_state avant d'appeler add_event_to_groups(), mais remove_on_exec a permis d'appeler list_del_event() avant de se déconnecter de son groupe, ce qui a permis d'utiliser un pointeur flottant provoquant une vulnérabilité d'utilisation après libération.

Élevée

GKE sur VMware

Description Gravité

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur VMware sont affectés.

Que dois-je faire ?

Quelles failles sont corrigées ?

Avec la faille CVE-2023-2235, la fonction perf_group_detach n'a pas vérifié les éléments "frères et sœurs" de l'événement attach_state avant d'appeler add_event_to_groups(), mais remove_on_exec a permis d'appeler list_del_event() avant de se déconnecter de son groupe, ce qui a permis d'utiliser un pointeur flottant provoquant une vulnérabilité d'utilisation après libération.

Élevée

GKE sur AWS

Description Gravité

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur AWS sont affectés.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec la faille CVE-2023-2235, la fonction perf_group_detach n'a pas vérifié les éléments "frères et sœurs" de l'événement attach_state avant d'appeler add_event_to_groups(), mais remove_on_exec a permis d'appeler list_del_event() avant de se déconnecter de son groupe, ce qui a permis d'utiliser un pointeur flottant provoquant une vulnérabilité d'utilisation après libération.

Élevée

GKE sur Azure

Description Gravité

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur Azure sont affectés.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec la faille CVE-2023-2235, la fonction perf_group_detach n'a pas vérifié les éléments "frères et sœurs" de l'événement attach_state avant d'appeler add_event_to_groups(), mais remove_on_exec a permis d'appeler list_del_event() avant de se déconnecter de son groupe, ce qui a permis d'utiliser un pointeur flottant provoquant une vulnérabilité d'utilisation après libération.

Élevée

GKE sur solution Bare Metal

Description Gravité

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud.

Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE.

Que dois-je faire ?

Aucune action n'est requise.

Aucun

GCP-2023-017

Date de publication : 26/06/2023
Dernière mise à jour : 11/07/2023
Référence: CVE-2023-31436

Mise à jour du 11/07/2023 : les nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent la faille CVE-2023-31436.

GKE

Dernière mise à jour : 11/07/2023

Description Gravité

Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont affectés.

Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 11/07/2023:des versions du correctif Ubuntu sont disponibles.

Les versions suivantes de GKE ont été mises à jour pour inclure la dernière version d'Ubuntu versions qui corrigent la faille CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles sont corrigées ?

Avec CVE-2023-31436, une faille d'accès à la mémoire hors limites a été détectée dans le sous-système de contrôle du trafic (QoS) du noyau Linux. Un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou potentiellement d'élever ses privilèges sur le système.

Élevée

GKE sur VMware

Description Gravité

Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur VMware sont affectés.

Que dois-je faire ?

Quelles failles sont corrigées ?

Avec CVE-2023-31436, une faille d'accès à la mémoire hors limites a été détectée dans le sous-système de contrôle du trafic (QoS) du noyau Linux. Un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou potentiellement d'élever ses privilèges sur le système.

Élevée

GKE sur AWS

Description Gravité

Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur AWS sont affectés.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-31436, une faille d'accès à la mémoire hors limites a été détectée dans le sous-système de contrôle du trafic (QoS) du noyau Linux. Un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou potentiellement d'élever ses privilèges sur le système.

Élevée

GKE sur Azure

Description Gravité

Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur Azure sont affectés.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

Avec CVE-2023-31436, une faille d'accès à la mémoire hors limites a été détectée dans le sous-système de contrôle du trafic (QoS) du noyau Linux. Un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou potentiellement d'élever ses privilèges sur le système.

Élevée

GKE sur solution Bare Metal

Description Gravité

Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud.

Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE.

Que dois-je faire ?

Aucune action n'est requise.

Aucun

GCP-2023-016

Date de publication : 26/06/2023
Référence: CVE-2023-27496 CVE-2023-27488 CVE-2023-27493 CVE-2023-27492, CVE-2023-27491 CVE-2023-27487

GKE

Description Gravité

Un certain nombre de failles ont été découvertes dans Envoy, qui est utilisé dans Cloud Service Mesh. (ASM). Celles-ci ont été déclarées séparément en tant que GCP-2023-002

GKE n'est pas fourni avec ASM et n'est pas affecté par ces failles.

Que dois-je faire ?

Si vous avez installé ASM séparément pour vos clusters GKE, consultez GCP-2023-002

Aucun

GKE sur VMware

Description Gravité

Un certain nombre de failles (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) ont été découvertes dans Envoy, est utilisé dans Cloud Service Mesh dans GKE sur VMware, ce qui permet à un pirate informatique malveillant entraîner un déni de service ou le plantage d'Envoy. Celles-ci ont été déclarées séparément en tant que GCP-2023-002, mais nous voulons nous assurer Les clients GKE Enterprise mettent à jour leurs versions qui incluent ASM.

Que dois-je faire ?

Les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de résoudre ce problème la faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-27496: si Envoy est en cours d'exécution avec le filtre OAuth activé, une faille pourrait construire une requête qui entraînerait un déni de service en faisant planter Envoy.

CVE-2023-27488: les pirates informatiques peuvent utiliser cette faille pour contourner les vérifications d'authentification ext_authz est utilisé.

CVE-2023-27493: la configuration Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, telles que le SAN du certificat pair.

CVE-2023-27492: les pirates informatiques peuvent envoyer des corps de requêtes volumineux pour les routes comportant un filtre Lua. et provoquent des plantages.

CVE-2023-27491: les pirates informatiques peuvent envoyer des requêtes HTTP/2 ou HTTP/3 déclencher des erreurs d'analyse sur le service en amont HTTP/1.

CVE-2023-27487: l'en-tête x-envoy-original-path doit être une faille interne , mais Envoy ne supprime pas cet en-tête de la requête en début de le traitement des requêtes lorsqu'elles sont envoyées par un client non approuvé.

Élevée

GKE sur AWS

Description Gravité

Un certain nombre de failles (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) ont été découvertes dans Envoy, est utilisé dans Cloud Service Mesh. Celles-ci ont été déclarées séparément en tant que GCP-2023-002

GKE sur AWS n'est pas fourni avec ASM et n'est pas affecté.

Que dois-je faire ?

Aucune action n'est requise.

Aucun

GKE sur Azure

Description Gravité

Un certain nombre de failles (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) ont été découvertes dans Envoy, est utilisé dans Cloud Service Mesh. Celles-ci ont été déclarées séparément en tant que GCP-2023-002

GKE sur Azure n'est pas fourni avec ASM et n'est pas affecté.

Que dois-je faire ?

Aucune action n'est requise.

Aucun

GKE sur solution Bare Metal

Description Gravité

Un certain nombre de failles (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) ont été découvertes dans Envoy, est utilisé dans Cloud Service Mesh dans GKE sur Bare Metal, ce qui permet à un pirate pour causer un déni de service ou faire planter Envoy. Celles-ci ont été déclarées séparément en tant que GCP-2023-002, mais nous voulons nous assurer Les clients GKE Enterprise mettent à jour leurs versions qui incluent ASM.

Que dois-je faire ?

Les versions suivantes de GKE sur Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur Bare Metal:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-27496: si Envoy est en cours d'exécution avec le filtre OAuth activé, une faille pourrait construire une requête qui entraînerait un déni de service en faisant planter Envoy.

CVE-2023-27488: les pirates informatiques peuvent utiliser cette faille pour contourner les vérifications d'authentification ext_authz est utilisé.

CVE-2023-27493: la configuration Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, telles que le SAN du certificat pair.

CVE-2023-27492: les pirates informatiques peuvent envoyer des corps de requêtes volumineux pour les routes comportant un filtre Lua. et provoquent des plantages.

CVE-2023-27491: les pirates informatiques peuvent envoyer des requêtes HTTP/2 ou HTTP/3 déclencher des erreurs d'analyse sur le service en amont HTTP/1.

CVE-2023-27487: l'en-tête x-envoy-original-path doit être une faille interne , mais Envoy ne supprime pas cet en-tête de la requête en début de le traitement des requêtes lorsqu'elles sont envoyées par un client non approuvé.

Élevée

GCP-2023-015

Date de publication : 20/06/2023
Référence: CVE-2023-0468

GKE

Description Gravité

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont affectés.

Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles sont corrigées ?

Dans CVE-2023-0468, une faille "use-after-free" a été détectée dans io_uring/poll.c dans io_poll_check_events dans le sous-composant io_uring du noyau Linux. Cette faille peut entraîner un déréférencement du pointeur NULL, voire un plantage du système entraînant un déni de service.

Moyenne

GKE sur VMware

Description Gravité

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud.

GKE sur VMware utilise la version 5.4 du noyau Linux et n'est pas affecté par cette faille CVE.

Que dois-je faire ?

  • Aucune action n'est requise
Aucun

GKE sur AWS

Description Gravité

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud.

GKE sur AWS n'est pas affecté par cette faille CVE.

Que dois-je faire ?

  • Aucune action n'est requise
Aucun

GKE sur Azure

Description Gravité

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud.

GKE sur Azure n'est pas affecté par cette faille CVE.

Que dois-je faire ?

  • Aucune action n'est requise
Aucun

GKE sur solution Bare Metal

Description Gravité

Une nouvelle faille (CVE-2023-0468) a été découverte dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud.

Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE.

Que dois-je faire ?

  • Aucune action n'est requise
Aucun

GCP-2023-014

Date de publication : 15/06/2023
Mise à jour : 11-08-2023
Référence: CVE-2023-2727, CVE-2023-2728

Mise à jour du 11/08/2023 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS, GKE sur Azure et GKE sur Bare Metal

GKE

Description Gravité

Deux nouveaux problèmes de sécurité ont été découverts dans Kubernetes : les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).

GKE n'utilise pas ImagePolicyWebhook et n'est pas affecté par la faille CVE-2023-2727.

Toutes les versions de GKE sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

  • Le plug-in d'admission ServiceAccount est utilisé.
  • L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
  • Les pods utilisent des conteneurs éphémères.
Moyenne

GKE sur VMware

Dernière mise à jour : 11/08/2023

Description Gravité

Deux nouveaux problèmes de sécurité ont été découverts dans Kubernetes : les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). Anthos sur VMware n'utilise pas ImagePolicyWebhook et n'est pas affecté par la faille CVE-2023-2727.

Toutes les versions d'Anthos sur VMware sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Mise à jour du 11/08/2023:les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

  • Le plug-in d'admission ServiceAccount est utilisé.
  • L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
  • Les pods utilisent des conteneurs éphémères.
Moyenne

GKE sur AWS

Dernière mise à jour : 11/08/2023

Description Gravité

Deux nouveaux problèmes de sécurité ont été découverts dans Kubernetes : les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).
Anthos sur AWS n'utilise pas ImagePolicyWebhook et n'est pas affecté par la faille CVE-2023-2727.
Toutes les versions d'Anthos sur AWS sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Mise à jour du 11/08/2023:la version suivante de GKE sur AWS a été mise à jour avec du code pour corriger cette faille. Mettez à niveau vos nœuds vers la version suivante de GKE sur AWS:

  • 1.15.2

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

  • Le plug-in d'admission ServiceAccount est utilisé.
  • L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
  • Les pods utilisent des conteneurs éphémères.
Moyenne

GKE sur Azure

Dernière mise à jour : 11/08/2023

Description Gravité

Deux nouveaux problèmes de sécurité ont été découverts dans Kubernetes : les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).
Anthos on Azure n'utilise pas ImagePolicyWebhook et n'est pas affecté par la faille CVE-2023-2727.
Toutes les versions d'Anthos on Azure sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Mise à jour du 11/08/2023:la version suivante de GKE sur Azure a été mise à jour avec du code pour corriger cette faille. Mettez à niveau vos nœuds vers la version suivante de GKE sur Azure:

  • 1.15.2

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

  • Le plug-in d'admission ServiceAccount est utilisé.
  • L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
  • Les pods utilisent des conteneurs éphémères.
Moyenne

GKE sur solution Bare Metal

Dernière mise à jour : 11/08/2023

Description Gravité

Deux nouveaux problèmes de sécurité ont été découverts dans Kubernetes : les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).
Anthos sur Bare Metal n'utilise pas ImagePolicyWebhook et n'est pas affecté par la faille CVE-2023-2727.
Toutes les versions d'Anthos sur Bare Metal sont potentiellement vulnérables à la faille CVE-2023-2728.

Que dois-je faire ?

Mise à jour du 11/08/2023:les versions suivantes de Google Distributed Cloud Virtual for Bare Metal ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos nœuds vers l'une des versions suivantes de Google Distributed Cloud Virtual for Bare Metal:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Quelles failles sont corrigées ?

Avec CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions.

Dans CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets montables appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. La règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que des secrets spécifiés dans le champ secrets du compte de service. Les clusters sont affectés par cette faille si:

  • Le plug-in d'admission ServiceAccount est utilisé.
  • L'annotation kubernetes.io/enforce-mountable-secrets est utilisée par un compte de service. Cette annotation n'est pas ajoutée par défaut.
  • Les pods utilisent des conteneurs éphémères.
Moyenne

GCP-2023-009

Date de publication : 06/06/2023
Référence: CVE-2023-2878

GKE

Description Gravité

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE n'est pas affecté par cette faille CVE.

Que dois-je faire ?

Bien que GKE ne soit pas affecté, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Aucun

GKE sur VMware

Description Gravité

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE sur VMware n'est pas affecté par cette CVE.

Que dois-je faire ?

GKE sur VMware n'est pas affecté. Toutefois, si vous avez installé le composant "secrets-store-csi-driver", vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Aucun

GKE sur AWS

Description Gravité

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE sur AWS n'est pas affecté par cette faille CVE.

Que dois-je faire ?

Bien que GKE sur AWS ne soit pas affecté, si vous avez installé le composant "secrets-store-csi-driver", vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Aucun

GKE sur Azure

Description Gravité

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE sur Azure n'est pas affecté par cette faille CVE

Que dois-je faire ?

Bien que GKE sur Azure ne soit pas affecté, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Aucun

GKE sur solution Bare Metal

Description Gravité

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault.

GKE sur Bare Metal n'est pas affecté par cette faille CVE.

Que dois-je faire ?

GKE sur Bare Metal n'est pas affecté. Toutefois, si vous avez installé le composant "secrets-store-csi-driver", vous devez mettre à jour votre installation avec une version corrigée.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-2878 a été découverte dans secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote a pu observer les jetons du compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs de services cloud externes pour accéder aux secrets stockés dans les solutions Cloud Vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est configuré pour s'exécuter au niveau de journalisation 2 ou supérieur via l'option -v.

Aucun

GCP-2023-008

Date de publication : 05/06/2023
Référence: CVE-2023-1872

GKE

Description Gravité

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud. Les clusters GKE Standard et Autopilot sont affectés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-1872 est une vulnérabilité d'utilisation après libération dans le sous-système io_uring du noyau Linux qui peut être exploitée pour obtenir une élévation des privilèges locaux. La fonction io_file_get_fixed est absente de ctx->uring_lock, ce qui peut entraîner une faille d'utilisation après libération en raison d'une condition de concurrence entraînant l'annulation de l'enregistrement des fichiers corrigés.

Élevée

GKE sur VMware

Description Gravité

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud.

Que dois-je faire ?

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-1872 est une vulnérabilité d'utilisation après libération dans le sous-système io_uring du noyau Linux qui peut être exploitée pour obtenir une élévation des privilèges locaux. La fonction io_file_get_fixed est absente de ctx->uring_lock, ce qui peut entraîner une faille d'utilisation après libération en raison d'une condition de concurrence entraînant l'annulation de l'enregistrement des fichiers corrigés.

Élevée

GKE sur AWS

Description Gravité

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud.

Que dois-je faire ?

Les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger ces failles:

  • 1.15.1
  • Quelles failles ce correctif permet-il de résoudre ?

    CVE-2023-1872 est une vulnérabilité d'utilisation après libération dans le sous-système io_uring du noyau Linux qui peut être exploitée pour obtenir une élévation des privilèges locaux. La fonction io_file_get_fixed est absente de ctx->uring_lock, ce qui peut entraîner une faille d'utilisation après libération en raison d'une condition de concurrence entraînant l'annulation de l'enregistrement des fichiers corrigés.

    Élevée

    GKE sur Azure

    Description Gravité

    Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud.

    Que dois-je faire ?

    Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles:

  • 1.15.1
  • Quelles failles ce correctif permet-il de résoudre ?

    CVE-2023-1872 est une vulnérabilité d'utilisation après libération dans le sous-système io_uring du noyau Linux qui peut être exploitée pour obtenir une élévation des privilèges locaux. La fonction io_file_get_fixed est absente de ctx->uring_lock, ce qui peut entraîner une faille d'utilisation après libération en raison d'une condition de concurrence entraînant l'annulation de l'enregistrement des fichiers corrigés.

    Élevée

    GKE sur solution Bare Metal

    Description Gravité

    Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud.

    GKE sur Bare Metal n'est pas affecté par cette faille CVE.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GCP-2023-005

    Date de publication : 18/05/2023
    Dernière mise à jour : 06/06/2023
    Référence: CVE-2023-1281, CVE-2023-1829

    Mise à jour du 06/06/2023 : de nouvelles versions de GKE ont été mises à jour afin d'inclure les dernières versions d'Ubuntu qui corrigent les failles CVE-2023-1281 et CVE-2023-1829.

    GKE

    Dernière mise à jour : 06/06/2023

    Description Gravité

    Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud. Les clusters GKE Standard sont affectés.

    les clusters GKE Autopilot utilisant GKE Sandbox ne sont pas concernés.

    Que dois-je faire ?

    Mise à jour du 06/06/2023:des versions du correctif Ubuntu sont disponibles.

    Les versions suivantes de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent les failles CVE-2023-1281 et CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

    Quelles failles ce correctif permet-il de résoudre ?

    Les CVE-2023-1281 et CVE-2023-1829 sont toutes deux des failles d'utilisation après libération du filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour effectuer une élévation des privilèges locaux.

    Avec la CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut par la suite entraîner la double libération d'une structure de données.

    Dans CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant le balayage des paquets, ce qui entraîne une utilisation après libération lorsque tcf_exts_exec() est appelé avec le tcf_ext détruit. Un pirate informatique local peut exploiter cette faille pour élever ses privilèges au niveau racine.

    Élevée

    GKE sur VMware

    Description Gravité

    Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud.

    Que dois-je faire ?

    Quelles failles ce correctif permet-il de résoudre ?

    Les CVE-2023-1281 et CVE-2023-1829 sont toutes deux des failles d'utilisation après libération du filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour effectuer une élévation des privilèges locaux.

    Avec la CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut par la suite entraîner la double libération d'une structure de données.

    Dans CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant le balayage des paquets, ce qui entraîne une utilisation après libération lorsque tcf_exts_exec() est appelé avec le tcf_ext détruit. Un pirate informatique local peut exploiter cette faille pour élever ses privilèges au niveau racine.

    Élevée

    GKE sur AWS

    Description Gravité

    Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud.

    Que dois-je faire ?

    Quelles failles ce correctif permet-il de résoudre ?

    Les CVE-2023-1281 et CVE-2023-1829 sont toutes deux des failles d'utilisation après libération du filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour effectuer une élévation des privilèges locaux.

    Avec la CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut par la suite entraîner la double libération d'une structure de données.

    Dans CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant le balayage des paquets, ce qui entraîne une utilisation après libération lorsque tcf_exts_exec() est appelé avec le tcf_ext détruit. Un pirate informatique local peut exploiter cette faille pour élever ses privilèges au niveau racine.

    Élevée

    GKE sur Azure

    Description Gravité

    Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud.

    Que dois-je faire ?

    Quelles failles ce correctif permet-il de résoudre ?

    Les CVE-2023-1281 et CVE-2023-1829 sont toutes deux des failles d'utilisation après libération du filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour effectuer une élévation des privilèges locaux.

    Avec la CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut par la suite entraîner la double libération d'une structure de données.

    Dans CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant le balayage des paquets, ce qui entraîne une utilisation après libération lorsque tcf_exts_exec() est appelé avec le tcf_ext détruit. Un pirate informatique local peut exploiter cette faille pour élever ses privilèges au niveau racine.

    Élevée

    GKE sur solution Bare Metal

    Description Gravité

    Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud.

    GKE sur Bare Metal n'est pas affecté par cette faille CVE.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GCP-2023-003

    Date de publication : 11/04/2023
    Mise à jour : 21-12-2023
    Référence: CVE-2023-0240, CVE-2023-23586

    Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

    GKE

    Mise à jour : 21/12/2023

    Description Gravité

    Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

    Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le un noyau Linux qui pourrait permettre à un utilisateur non privilégié d’élever ses privilèges. les clusters GKE, y compris les clusters Autopilot, avec COS à l'aide de Les versions du noyau Linux 5.10 à 5.10.162 sont concernées. des clusters GKE utilisant Les images Ubuntu et l'utilisation de GKE Sandbox ne sont pas affectées.

    Que dois-je faire ?

    Les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces problèmes les failles. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, vous recommandez de mettre à niveau manuellement vos pools de nœuds vers l'un des Versions de GKE:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une chaîne. Cela vous permet Sécurisez vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut canal.

    Quelles failles ce correctif permet-il de résoudre ?

    Vulnérabilité 1 (CVE-2023-0240): une condition de concurrence dans io_uring peut entraîner le conteneur complet passe à la racine du nœud. Les versions de noyau Linux 5.10 sont concernées jusqu'au 5.10.162.

    Vulnérabilité 2 (CVE-2023-23586): une utilisation après libération (UAF) dans io_uring/time_ns peut le conteneur complet passe à la racine du nœud. Les versions de noyau Linux 5.10 sont affectées jusqu'au 5.10.162.

    Élevée

    GKE sur VMware

    Description Gravité

    Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le un noyau Linux qui pourrait permettre à un utilisateur non privilégié d’élever ses privilèges. Clusters GKE sur VMware avec COS utilisant le noyau Linux 5.10 jusqu'au 5.10.162 sont affectés. Les clusters GKE Enterprise utilisant des images Ubuntu ne sont pas affectés.

    Que dois-je faire ?

    Les versions suivantes de GKE sur VMware ont été mises à jour avec le code nécessaire ces failles:

    • 1.12.6
    • 1.13.5

    Quelles failles ce correctif permet-il de résoudre ?

    Vulnérabilité 1 (CVE-2023-0240): une condition de concurrence dans io_uring peut entraîner vers la racine du nœud. Les versions de noyau Linux 5.10 sont concernées jusqu'au 5.10.162.

    Vulnérabilité 2 (CVE-2023-23586): une utilisation après libération (UAF) dans io_uring/time_ns peut entraîner le conteneur complet passe à la racine du nœud. Les versions de noyau Linux 5.10 sont concernées jusqu'au 5.10.162.

    Élevée

    GKE sur AWS

    Description Gravité

    Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le un noyau Linux qui pourrait permettre à un utilisateur non privilégié d’élever ses privilèges. GKE sur AWS n'est pas affecté par ces failles CVE.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GKE sur Azure

    Description Gravité

    Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le un noyau Linux qui pourrait permettre à un utilisateur non privilégié d’élever ses privilèges. GKE sur Azure n'est pas affecté par ces failles CVE

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GKE sur solution Bare Metal

    Description Gravité

    Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le un noyau Linux qui pourrait permettre à un utilisateur non privilégié d’élever ses privilèges. GKE sur Bare Metal n'est pas affecté par ces failles CVE.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GCP-2023-001

    Date de publication : 01/03/2023
    Mise à jour : 21-12-2023
    Référence: CVE-2022-4696

    Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

    GKE

    Description Gravité

    Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

    Une nouvelle vulnérabilité (CVE-2022-4696) dans le noyau Linux a été détectée à une élévation des privilèges sur le nœud. les clusters GKE, y compris les clusters Autopilot. des clusters GKE utilisant GKE Sandbox ne sont pas concernés.

    Que dois-je faire ?

    Les versions suivantes de GKE ont été mises à jour avec du code pour résoudre ce problème la faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons d'effectuer la mise à niveau manuellement vos clusters et vos pools de nœuds vers l'une des versions de GKE suivantes:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une chaîne. Cela vous permet Sécurisez vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut canal.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-4696, une faille "use-after-free" a été détectée dans io_uring et ioring_op_splice dans du noyau Linux. Cette faille permet à un utilisateur local de créer une élévation des privilèges au niveau local.

    Élevée

    GKE sur VMware

    Description Gravité

    Une nouvelle vulnérabilité (CVE-2022-4696) dans le noyau Linux a été détectée à une élévation des privilèges sur le nœud. GKE sur VMware exécutant la version 1.12 et v1.13 sont concernées. Les clusters GKE sur VMware exécutant la version 1.14 ou ultérieure ne sont pas concernés.

    Que dois-je faire ?

    Les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de résoudre ce problème la faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware:

    • 1.12.5
    • 1.13.5

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-4696, une faille "use-after-free" a été détectée dans io_uring et ioring_op_splice dans du noyau Linux. Cette faille permet à un utilisateur local de créer une élévation des privilèges au niveau local.

    Élevée

    GKE sur AWS

    Description Gravité

    Une nouvelle vulnérabilité (CVE-2022-4696) dans le noyau Linux a été détectée à une élévation des privilèges sur le nœud. GKE sur AWS n'est pas affecté par cette faille.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GKE sur Azure

    Description Gravité

    Une nouvelle vulnérabilité (CVE-2022-4696) dans le noyau Linux a été détectée à une élévation des privilèges sur le nœud. GKE sur Azure n'est pas affecté par cette faille.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GKE sur solution Bare Metal

    Description Gravité

    Une nouvelle vulnérabilité (CVE-2022-4696) dans le noyau Linux a été détectée à une élévation des privilèges sur le nœud. GKE sur Bare Metal n'est pas affecté par cette faille.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GCP-2022-026

    Date de publication : 11/01/2023
    Référence: CVE-2022-3786, CVE-2022-3602

    GKE

    Description Gravité

    Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL. v3.0.6 qui peut potentiellement provoquer un plantage. Bien qu'il ait été noté comme Élevé dans la NVD les points de terminaison GKE utilisent boringSSL ou une ancienne version d'OpenSSL n'est pas affectée, c'est pourquoi la note a été réduite à "Moyenne" pour GKE.

    Que dois-je faire ?

    Les versions suivantes de GKE ont été mises à jour avec du code pour résoudre ce problème faille:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Une fonctionnalité récente de version chaînes vous permet d'appliquer un correctif sans avoir à vous désabonner d'une chaîne. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut une chaîne spécifique.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-3786 et CVE-2022-3602, un dépassement de tampon peut être déclenché dans le certificat X.509. qui peut entraîner un plantage provoquant un déni de service. Pour être exploitée, cette faille nécessite qu'une autorité de certification ait signé un certificat malveillant ou pour qu'une application poursuive la vérification du certificat malgré l'échec de la création d'un vers un émetteur approuvé.

    Moyenne

    GKE sur VMware

    Description Gravité

    Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 peut potentiellement provoquer un plantage.

    Que dois-je faire ?

    GKE sur VMware n'est pas affecté par cette CVE, car il n'utilise pas de version concernée d'OpenSSL.

    Quelles failles ce correctif permet-il de résoudre ?

    Aucune action n'est requise.

    Aucun

    GKE sur AWS

    Description Gravité

    Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 peut potentiellement provoquer un plantage.

    Que dois-je faire ?

    GKE sur AWS n'est pas affecté par cette faille CVE, car il n'utilise pas de version affectée d'OpenSSL.

    Quelles failles ce correctif permet-il de résoudre ?

    Aucune action n'est requise.

    Aucun

    GKE sur Azure

    Description Gravité

    Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 peut potentiellement provoquer un plantage.

    Que dois-je faire ?

    GKE sur Azure n'est pas affecté par cette faille CVE, car il n'utilise pas de version affectée d'OpenSSL.

    Quelles failles ce correctif permet-il de résoudre ?

    Aucune action n'est requise.

    Aucun

    GKE sur solution Bare Metal

    Description Gravité

    Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 peut potentiellement provoquer un plantage.

    Que dois-je faire ?

    GKE sur Bare Metal n'est pas affecté par cette CVE, car il n'utilise pas de version concernée d'OpenSSL.

    Quelles failles ce correctif permet-il de résoudre ?

    Aucune action n'est requise.

    Aucun

    GCP-2022-025

    Date de publication : 21/12/2022
    Mise à jour : 19-01-2023, 21-12-2023
    Référence: CVE-2022-2602

    Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

    Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 de GKE est disponible.

    GKE

    Dernière mise à jour : 19/01/2023

    Description Gravité

    Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

    Une nouvelle vulnérabilité (CVE-2022-2602) a été découverte dans le sous-système io_uring de la un noyau Linux qui peut permettre à un attaquant d’exécuter du code arbitraire. Les clusters GKE, dont les clusters Autopilot, sont affectés.

    Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

    Que dois-je faire ?

    Mise à jour du 19/01/2023:la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure.


    Les versions suivantes de GKE ont été mises à jour avec du code pour résoudre ce problème dans une prochaine version. Pour des raisons de sécurité, même si vous disposez la mise à niveau automatique, nous vous recommandons mise à niveau manuelle vos pools de nœuds vers l'une des versions de GKE suivantes:

    • Container-Optimized OS:
      • 1.22.16-gke.1300 et versions ultérieures
      • 1.23.14-gke.401 et versions ultérieures
      • 1.24.7-gke.900 et versions ultérieures
      • 1.25.4-gke.1600 et versions ultérieures
    • Ubuntu:
      • 1.22.15-gke.2500 et versions ultérieures
      • 1.23.13-gke.900 et versions ultérieures
      • 1.24.7-gke.900 et versions ultérieures
      • 1.25.3-gke.800 et versions ultérieures

    Une fonctionnalité récente des versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une chaîne. Cela vous permet Sécurisez vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut canal.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et le socket Unix la récupération de mémoire peut entraîner une vulnérabilité d'utilisation après libération (use-after-free). Un attaquant local pourrait utiliser cela pour déclencher un déni de service ou éventuellement exécuter un code arbitraire.

    Élevée

    GKE sur VMware

    Description Gravité

    Une nouvelle vulnérabilité (CVE-2022-2602) a été découverte dans le sous-système io_uring de la un noyau Linux qui peut permettre à un attaquant d’exécuter du code arbitraire.

    Les versions 1.11, 1.12 et 1.13 de GKE sur VMware sont concernées.

    Que dois-je faire ?

    Mettez à niveau votre cluster vers une version corrigée. Les versions suivantes de GKE sur VMware contient du code qui corrige cette faille:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et le socket Unix la récupération de mémoire peut entraîner une vulnérabilité d'utilisation après libération (use-after-free). Un attaquant local pourrait utiliser cela pour déclencher un déni de service ou éventuellement exécuter un code arbitraire.

    Élevée

    GKE sur AWS

    Description Gravité

    Une nouvelle vulnérabilité (CVE-2022-2602) a été découverte dans le sous-système io_uring de la un noyau Linux qui peut permettre à un attaquant d’exécuter du code arbitraire.

    Que dois-je faire ?

    Les versions actuelles et précédentes de GKE sur AWS suivantes ont été mis à jour avec le code nécessaire pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS:

    • Génération actuelle:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Génération précédente:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et le socket Unix la récupération de mémoire peut entraîner une vulnérabilité d'utilisation après libération (use-after-free). Un attaquant local pourrait utiliser cela pour déclencher un déni de service ou éventuellement exécuter un code arbitraire.

    Élevée

    GKE sur Azure

    Description Gravité

    Une nouvelle vulnérabilité (CVE-2022-2602) a été découverte dans le sous-système io_uring de la un noyau Linux qui peut permettre à un attaquant d’exécuter du code arbitraire.

    Que dois-je faire ?

    Les versions suivantes de GKE sur Azure ont été mises à jour avec le code nécessaire cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes Versions de GKE sur Azure:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et le socket Unix la récupération de mémoire peut entraîner une vulnérabilité d'utilisation après libération (use-after-free). Un attaquant local pourrait utiliser cela pour déclencher un déni de service ou éventuellement exécuter un code arbitraire.

    Élevée

    GKE sur solution Bare Metal

    Description Gravité

    Une nouvelle vulnérabilité (CVE-2022-2602) a été découverte dans le sous-système io_uring de la un noyau Linux qui peut permettre à un attaquant d’exécuter du code arbitraire.

    GKE sur Bare Metal n'est pas affecté par cette faille CVE, car il ne regroupe pas un système d’exploitation dans sa distribution.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GCP-2022-024

    Date de publication : 09/11/2022
    Dernière mise à jour : 19/01/2023
    Référence: CVE-2022-2585, CVE-2022-2588

    Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 de GKE est disponible.
    Mise à jour du 16/12/2022 : ajout de versions de correctif révisées pour GKE et GKE sur VMware.

    GKE

    Dernière mise à jour : 19/01/2023

    Description Gravité

    Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en racine sur le nœud. Les clusters GKE, dont les clusters Autopilot, sont affectés.

    Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

    Que dois-je faire ?

    Mise à jour du 19/01/2023:la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure.

    Mise à jour du 16/12/2022: Une version précédente du bulletin a été révisée en raison d'une régression de version. Veuillez mise à niveau manuelle vos pools de nœuds vers l'une des versions de GKE suivantes:

    • 1.22.16-gke.1300 et versions ultérieures
    • 1.23.14-gke.401 et versions ultérieures
    • 1.24.7-gke.900 et versions ultérieures
    • 1.25.4-gke.1600 et versions ultérieures

    Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour même si la mise à niveau automatique des nœuds est activée, vous devez manuellement Mettez à niveau vos pools de nœuds vers l'une des versions de GKE suivantes:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    Les mises à jour pour GKE v1.22, 1.23 et 1.25 seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour dès qu'il sera disponible.

    Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

    Quelles failles ce correctif permet-il de résoudre ?

    • Avec la faille CVE-2022-2585, un nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit "use-after-free" en fonction de la manière dont ils sont créés et supprimés.
    • Avec CVE-2022-2588, une faille "use-after-free" a été détectée dans route4_change dans le kernel Linux. Cette faille permet à un utilisateur local de faire planter le système et éventuellement d'entraîner une élévation des privilèges au niveau local.
    Élevée

    GKE sur VMware

    Dernière mise à jour : 16/12/2022

    Description Gravité

    Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en racine sur le nœud.

    Les versions 1.13, 1.12 et 1.11 de GKE sur VMware sont concernées.

    Que dois-je faire ?

    Mise à jour du 16/12/2022:versions suivantes de Le code permettant de corriger cette faille a été ajouté à GKE sur VMware. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une Versions de GKE sur VMware:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Remarque: Les versions de GKE sur VMware qui contiennent des correctifs Container-Optimized OS seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    • Avec la faille CVE-2022-2585, un nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit "use-after-free" en fonction de la manière dont ils sont créés et supprimés.
    • Avec CVE-2022-2588, une faille "use-after-free" a été détectée dans route4_change dans le kernel Linux. Cette faille permet à un utilisateur local de faire planter le système et éventuellement d'entraîner une élévation des privilèges au niveau local.
    Élevée

    GKE sur AWS

    Description Gravité

    Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en racine sur le nœud.

    Les versions suivantes de Kubernetes sur AWS peuvent être affectées:

    • 1.23: versions antérieures à 1.23.9-gke.800. Les versions mineures plus récentes ne sont pas concernées
    • 1.22: versions antérieures à 1.22.12-gke.1100. Les versions mineures plus récentes ne sont pas concernées

    Kubernetes v1.24 n'est pas affecté.

    Que dois-je faire ?

    Nous vous recommandons de mettre à niveau vos clusters vers l'une des versions AWS Kubernetes suivantes:

    • 1.23: version ultérieure à v1.23.9-gke.800
    • 1.22: version ultérieure à 1.22.12-gke-1100

    Quelles failles sont corrigées ?

    Avec la faille CVE-2022-2585, un nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit "use-after-free" en fonction de la manière dont ils sont créés et supprimés.

    Avec CVE-2022-2588, une faille "use-after-free" a été détectée dans route4_change dans le kernel Linux. Cette faille permet à un utilisateur local de faire planter le système et éventuellement d'entraîner une élévation des privilèges au niveau local.

    Élevée

    GKE sur Azure

    Description Gravité

    Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en racine sur le nœud.

    Les versions suivantes de Kubernetes sur Azure peuvent être affectées:

    • 1.23: versions antérieures à 1.23.9-gke.800. Les versions mineures plus récentes ne sont pas concernées.
    • 1.22: versions antérieures à 1.22.12-gke.1100. Les versions mineures plus récentes ne sont pas concernées.

    Kubernetes v1.24 n'est pas affecté.

    Que dois-je faire ?

    Nous vous recommandons de mettre à niveau vos clusters vers l'une des versions Azure de Kubernetes suivantes:

    • 1.23: version ultérieure à v1.23.9-gke.800
    • 1.22: version ultérieure à 1.22.12-gke-1100

    Quelles failles sont corrigées ?

    Avec la faille CVE-2022-2585, un nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit "use-after-free" en fonction de la manière dont ils sont créés et supprimés.

    Avec CVE-2022-2588, une faille "use-after-free" a été détectée dans route4_change dans le kernel Linux. Cette faille permet à un utilisateur local de faire planter le système et éventuellement d'entraîner une élévation des privilèges au niveau local.

    Élevée

    GKE sur solution Bare Metal

    Description Gravité

    Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en racine sur le nœud.

    GKE sur Bare Metal n'est pas affecté par cette faille CVE, car il n'inclut pas de système d'exploitation dans sa distribution.

    Que dois-je faire ?

    Aucune action n'est requise.

    Aucun

    GCP-2022-023

    Date de publication : 04/11/2022
    Référence: CVE-2022-39278

    GKE

    Description Gravité

    Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisé dans Cloud Service Mesh, qui permet à un pirate informatique malveillant de faire planter le plan de contrôle.

    Que dois-je faire ?

    Google Kubernetes Engine (GKE) n'est pas fourni avec Istio et n'est pas affecté la faille. Toutefois, si vous avez installé Cloud Service Mesh ou Istio séparément sur votre cluster GKE, consultez GCP-2022-020 le bulletin de sécurité Cloud Service Mesh sur cette CVE, pour plus d'informations.

    Aucun

    GKE sur VMware

    Description Gravité

    Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisé dans Cloud Service Mesh dans GKE sur VMware, ce qui permet à un attaquant malveillant de faire planter Plan de contrôle Istio.

    Que dois-je faire ?

    Les versions suivantes de GKE sur VMware ont été mises à jour avec du code permettant de résoudre ce problème la faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la faille CVE-2022-39278, le plan de contrôle Istio, istiod, est vulnérable à une erreur de traitement de requête, ce qui permet à un attaquant malveillant d'envoyer une qui entraîne le plantage du plan de contrôle de validation du webhook pour un cluster est exposée publiquement. Ce point de terminaison est diffusé via TLS le port 15017, mais ne nécessite aucune authentification de la part de l'attaquant.

    Élevée

    GKE sur AWS

    Description Gravité

    Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisé dans Cloud Service Mesh, qui permet à un attaquant malveillant de faire planter le plan de contrôle.

    Que dois-je faire ?

    GKE sur AWS n'est pas affecté par cette faille, et aucune action n'est requise.

    Aucun

    GKE sur Azure

    Description Gravité

    Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisé dans Cloud Service Mesh, qui permet à un attaquant malveillant de faire planter le plan de contrôle.

    Que dois-je faire ?

    GKE sur Azure n'est pas affecté par cette faille et aucune action n'est obligatoire.

    Aucun

    GKE sur solution Bare Metal

    Description Gravité

    Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisé dans Cloud Service Mesh dans GKE sur Bare Metal, ce qui permet à un pirate pour faire planter le plan de contrôle Istio.

    Que dois-je faire ?

    Les versions suivantes de GKE sur Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau les clusters vers l'une des versions suivantes de GKE sur Bare Metal:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la faille CVE-2022-39278, le plan de contrôle Istio, istiod, est vulnérable à une erreur de traitement de requête, ce qui permet à un attaquant malveillant d'envoyer une qui entraîne le plantage du plan de contrôle de validation du webhook pour un cluster est exposée publiquement. Ce point de terminaison est diffusé via TLS le port 15017, mais ne nécessite aucune authentification de la part de l'attaquant.

    Élevée

    GCP-2022-022-updated

    Date de publication : 08/12/2022
    Référence: CVE-2022-20409

    GKE

    Dernière mise à jour : 14/12/2022

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-20409, a été découverte dans le noyau Linux qui peut entraîner une élévation des privilèges locaux. Google Kubernetes Engine (GKE) v1.22, v1.23 et v1.24 des clusters, y compris Autopilot, à l'aide de Container-Optimized OS les versions 93 et 97 sont concernées. Autre compatibilité Versions de GKE ne sont pas affectées. des clusters GKE utilisant GKE Sandbox ne sont pas affectés.

    Que dois-je faire ?

    Mise à jour du 14/12/2022: Une version précédente du bulletin a été révisée en raison d'une régression de version. Veuillez mise à niveau manuelle vos pools de nœuds vers l'une des versions de GKE suivantes:

    • 1.22.15-gke.2500 et versions ultérieures
    • 1.23.13-gke.900 et versions ultérieures
    • 1.24.7-gke.900 et versions ultérieures

    Les versions suivantes de GKE utilisant la version Container-Optimized OS 93 et 97 ont été mis à jour avec du code pour corriger cette faille dans une prochaine version. Pour des raisons de sécurité, même si les mises à niveau automatiques des nœuds sont activées, nous vous recommandons mise à niveau manuelle vos pools de nœuds vers l'une des versions de GKE suivantes:

    • 1.22.15-gke.2300 et versions ultérieures
    • 1.23.13-gke.700 et versions ultérieures
    • 1.24.7-gke.700 et versions ultérieures

    Une fonctionnalité récente de versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une chaîne. Cette fonctionnalité vous permet Sécurisez vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut canal.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la CVE-2022-20409, le noyau Linux présente une vulnérabilité dans io_identity_cow du io_uring. Il existe un risque de corruption de la mémoire en raison d'une utilisation après libération (UAF). Un attaquant local pourrait utiliser cette corruption de mémoire pour déni (plantage du système) ou éventuellement d'exécuter du code arbitraire.

    Élevée

    GKE sur VMware

    Dernière mise à jour : 14/12/2022

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-20409, a été découverte dans le noyau Linux qui peut entraîner une élévation des privilèges locaux.

    Que dois-je faire ?

    Mise à jour du 14/12/2022:versions suivantes de GKE sur VMware pour Ubuntu a été mis à jour avec du code permettant de corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des solutions GKE sur VMware suivantes versions:

    • 1.13.1 et versions ultérieures
    • 1.12.3 et versions ultérieures
    • 1.11.4 et versions ultérieures

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la CVE-2022-20409, le noyau Linux présente une vulnérabilité dans io_identity_cow du io_uring. Il existe un risque de corruption de la mémoire en raison d'une utilisation après libération (UAF). Un attaquant local pourrait utiliser cette corruption de mémoire pour déni (plantage du système) ou éventuellement d'exécuter du code arbitraire.

    Élevée

    GKE sur AWS

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-20409, a été découverte dans le noyau Linux, permettre à un utilisateur non privilégié d'élever au droit d'exécution du système.

    Que dois-je faire ?

    Aucune action n'est requise de votre part. GKE sur AWS n'utilise pas les versions affectées des noyau Linux.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la CVE-2022-20409, le noyau Linux présente une vulnérabilité dans io_identity_cow du io_uring. Il existe un risque de corruption de la mémoire en raison d'une utilisation après libération (UAF). Un attaquant local pourrait utiliser cette corruption de mémoire pour déni (plantage du système) ou éventuellement d'exécuter du code arbitraire.

    Aucun

    GKE sur Azure

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-20409, a été découverte dans le noyau Linux, permettre à un utilisateur non privilégié d'élever au droit d'exécution du système.

    Que dois-je faire ?

    Aucune action n'est requise de votre part. GKE sur Azure n'utilise pas les versions concernées du noyau Linux.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la CVE-2022-20409, le noyau Linux présente une vulnérabilité dans io_identity_cow du io_uring. Il existe un risque de corruption de la mémoire en raison d'une utilisation après libération (UAF). Un attaquant local pourrait utiliser cette corruption de mémoire pour déni (plantage du système) ou éventuellement d'exécuter du code arbitraire.

    Aucun

    GKE sur solution Bare Metal

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-20409, a été découverte dans le noyau Linux qui peut entraîner une élévation des privilèges locaux.

    Que dois-je faire ?

    • Aucune action n'est requise de votre part. GKE sur Bare Metal n'est pas affecté par ce changement CVE, car elle ne regroupe pas de système d'exploitation dans sa distribution.
    Aucun

    GCP-2022-021

    Date de publication : 27/10/2022
    Mise à jour : 19-01-2023, 21-12-2023
    Référence: CVE-2022-3176

    Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

    Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 de GKE est disponible.
    Mise à jour du 15/12/2022 : mise à jour des informations concernant la version 1.21.14-gke.9400 de Google Kubernetes Engine est en attente de déploiement et peut être remplacé par un numéro de version plus élevé.
    Mise à jour du 21/11/2022 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure.

    GKE

    Dernière mise à jour : 19/01/2023, 21/12/2023

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-3176, a été découverte dans le noyau Linux et peut conduire à l'élévation des privilèges locaux. Cette vulnérabilité permet à un utilisateur non privilégié d’obtenir la répartition complète du conteneur vers la racine sur le nœud.

    Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

    Les clusters Google Kubernetes Engine (GKE) v1.21, y compris les clusters Autopilot, en utilisant La version 89 de Container-Optimized OS est affectée. Versions ultérieures de GKE ne sont pas affectées. Tous les clusters Linux équipés d'Ubuntu sont concernés. Clusters GKE avec GKE Sandbox sont non concernées.

    Que dois-je faire ?

    Mise à jour du 19/01/2023:la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure.

    Mise à jour du 15/12/2022:la version 1.21.14-gke.9400 est en attente de déploiement et peut être remplacé par un numéro de version supérieur. Nous mettrons à jour ce document lorsque la nouvelle version sera disponibles.


    Les versions suivantes de GKE ont été mises à jour avec du code pour résoudre ce problème dans une prochaine version. Pour des raisons de sécurité, même si vous disposez mises à niveau automatiques, nous vous recommandons mise à niveau manuelle vos pools de nœuds vers l'une des versions de GKE suivantes:

    • Container-Optimized OS:
      • 1.21.14-gke.7100 et versions ultérieures
    • Ubuntu:
      • 1.21.14-gke.9400 et versions ultérieures
      • 1.22.15-gke.2400 et versions ultérieures
      • 1.23.13-gke.800 et versions ultérieures
      • 1.24.7-gke.800 et versions ultérieures
      • 1.25.3-gke.700 et versions ultérieures

    Une fonctionnalité récente de versions disponibles vous permet d'appliquer un correctif sans avoir à vous désabonner d'une chaîne. Cette fonctionnalité vous permet Sécurisez vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut canal.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-3176, le noyau Linux présente une faille dans le sous-système io_uring. L’absence de traitement POLLFREE peut entraîner des exploits UAF (Use-After-Free) qui peuvent être utilisés pour l'élévation des privilèges.

    Élevée

    GKE sur VMware

    Dernière mise à jour : 21/11/2022

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-3176, a été découverte dans le noyau Linux et peut conduire à l'élévation des privilèges locaux. Cette vulnérabilité permet à un utilisateur non privilégié d’obtenir la répartition complète du conteneur vers la racine sur le nœud.

    Que dois-je faire ?

    • Les versions de GKE sur VMware avec Container-Optimized OS ne sont pas affectées.

    Mise à jour du 21/11/2022:versions suivantes de GKE sur VMware pour Ubuntu a été mis à jour avec du code permettant de corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur VMware:

    • 1.12.3 et versions ultérieures
    • 1.13.1 et versions ultérieures
    • 1.11.5 et versions ultérieures

    Des versions de GKE sur VMware contenant des correctifs Ubuntu seront disponibles très bientôt. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-3176, le noyau Linux présente une faille dans le sous-système io_uring. L’absence de traitement POLLFREE peut entraîner des exploits UAF (Use-After-Free) qui peuvent être utilisés pour l'élévation des privilèges.

    Élevée

    GKE sur AWS

    Dernière mise à jour : 21/11/2022

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-3176, a été découverte dans le noyau Linux qui peut entraîner une élévation des privilèges locaux. Cette vulnérabilité permet à un utilisateur non privilégié la répartition complète du conteneur vers la racine du nœud.

    Que dois-je faire ?

    Mise à jour du 21/11/2022: Les versions actuelles et précédentes de GKE sur AWS suivantes ont été mis à jour avec le code nécessaire pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS:

    Génération actuelle
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Génération précédente
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Les versions de GKE sur AWS contenant des correctifs Ubuntu seront disponibles très bientôt. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur AWS seront disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-3176, le noyau Linux présente une faille dans le sous-système io_uring. L’absence de traitement POLLFREE peut entraîner des exploits UAF (Use-After-Free) qui peuvent être utilisés pour l'élévation des privilèges.

    Élevée

    GKE sur Azure

    Dernière mise à jour : 21/11/2022

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-3176, a été découverte dans le noyau Linux qui peut entraîner une élévation des privilèges locaux. Cette vulnérabilité permet à un utilisateur non privilégié la répartition complète du conteneur vers la racine du nœud.

    Que dois-je faire ?

    Mise à jour du 21/11/2022: Les versions suivantes de GKE sur Azure ont été mises à jour avec le code nécessaire cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes Versions de GKE sur Azure:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Les versions de GKE sur Azure contenant des correctifs Ubuntu seront est bientôt disponible. Ce bulletin de sécurité sera mis à jour lorsque GKE sur Azure sont disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-3176, le noyau Linux présente une faille dans le sous-système io_uring. L’absence de traitement POLLFREE peut entraîner des exploits UAF (Use-After-Free) qui peuvent être utilisés pour l'élévation des privilèges.

    Élevée

    GKE sur solution Bare Metal

    Description Gravité

    Une nouvelle vulnérabilité, CVE-2022-3176, a été découverte dans le noyau Linux et peut conduire à l'élévation des privilèges locaux. Cette vulnérabilité permet à un utilisateur non privilégié d’obtenir la répartition complète du conteneur vers la racine sur le nœud.

    Que dois-je faire ?

    Aucune action n'est requise. GKE sur Bare Metal n'est pas affecté par cette CVE, car n’inclut pas de système d’exploitation dans sa distribution.

    Aucun

    GCP-2022-018

    Date de publication : 01/08/2022
    Dernière mise à jour : 14/09/2022, 21/12/2023
    Référence: CVE-2022-2327

    Mise à jour du 21/12/2023 : Clarifiez le fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

    Mise à jour du 14/09/2022 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure.

    GKE

    Mise à jour : 21/12/2023

    Description Gravité

    Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

    Détails techniques

    Mise à jour du 21/12/2023: le bulletin d'origine indiquait Autopilot clusters sont affectés, mais ce n'est pas la bonne réponse. GKE Autopilot les clusters de la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définir explicitement le profil Unconfined seccomp ou autoriser CAP_NET_ADMIN.

    Les clusters GKE, y compris les clusters Autopilot, avec Container-Optimized OS (COS) avec Linux Kernel version 5.10, sont concernés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés.

    Que dois-je faire ?

    Mettez à niveau vos clusters GKE vers une version incluant le correctif. Les images de nœuds Linux pour COS ont été mises à jour avec les versions de GKE utilisant ces versions COS.

    Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions GKE suivantes :

    Versions de COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de mettre à niveau vos nœuds vers la version corrigée avant que cette version ne devienne la version par défaut de la version disponible sélectionnée.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine.
    Élevée

    GKE sur VMware

    Dernière mise à jour : 14/09/2022

    Description Gravité

    Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

    Clusters avec une image Container-Optimized OS (COS) utilisant des versions de GKE sur VMware 1.10, 1.11 et 1.12 sont concernées.

    Que dois-je faire ?

    Mise à jour du 14/09/2022:versions suivantes de GKE sur VMware contient du code qui corrige cette faille.

    • 1.10.6 ou version ultérieure
    • 1.11.3 ou version ultérieure
    • 1.12.1 ou version ultérieure

    Des versions de GKE sur VMware contenant des correctifs seront disponibles très bientôt. Ce bulletin de sécurité sera mis à jour lorsque GKE sur VMware sont disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine.

    Élevée

    GKE sur AWS

    Dernière mise à jour : 14/09/2022

    Description Gravité

    Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

    Que dois-je faire ?

    Mise à jour du 14/09/2022:les mises à jour actuelles et les versions précédentes de GKE sur AWS ont été mis à jour avec le code nécessaire pour corriger cette faille. Nous vous recommandons mettre à niveau vos nœuds vers l'un des services GKE sur AWS suivants versions:

    Génération actuelle

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Génération précédente

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    Les versions de GKE sur AWS contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque GKE sur AWS sont disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine.

    Élevée

    GKE sur Azure

    Dernière mise à jour : 14/09/2022

    Description Gravité

    Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

    Que dois-je faire ?

    Mise à jour du 14/09/2022:versions suivantes de GKE sur Azure a été mis à jour avec du code pour résoudre ce problème la faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une les versions suivantes de GKE sur Azure:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Les versions de GKE sur Azure contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque GKE sur Azure sont disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine.

    Élevée

    Google Distributed Cloud Virtual pour Bare Metal

    Description Gravité

    Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

    Que dois-je faire ?

    Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette faille CVE, car elle ne regroupe aucun système d'exploitation distribution.

    Aucun

    GCP-2022-017

    Date de publication : 29/06/2022
    Dernière mise à jour : 22/11/2022
    Référence: CVE-2022-1786
    Mise à jour du 22/11/2022 : mise à jour des informations sur les charges de travail utilisant GKE Sandbox.
    Mise à jour du 21/07/2022 : mise à jour des informations concernant les images COS de GKE sur VMware sont affectés.

    GKE

    Dernière mise à jour : 22/11/2022

    Description Gravité

    Mise à jour du 22/11/2022: Les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles.


    Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour Container-Optimized OS pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions futures de GKE ci-dessous :

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de mettre à niveau vos nœuds vers la version corrigée avant que cette version ne devienne la version par défaut de la version disponible sélectionnée.

    Quelles failles ce correctif permet-il de résoudre ?

    La faille CVE-2022-1786 a révélé une faille après l'utilisation gratuite dans le sous-système io_uring du noyau Linux. Si un utilisateur configure un anneau avec IORING_SETUP_IOPOLL avec plusieurs tâches terminées sur l'anneau, un utilisateur local peut planter ou augmenter ses droits sur le système.

    Élevée

    GKE sur VMware

    Mise à jour : 14/07/2022

    Description Gravité

    Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud.

    Que dois-je faire ?

    Mise à jour du 21/07/2022:Les versions suivantes de GKE sur VMware contenant du code qui corrige cette faille.

    COS
    • 1.10.5 ou ultérieure
    • 1.11.2 ou ultérieure
    • 1.12.0 ou ultérieure

    Ubuntu

    Aucune action n'est requise. GKE sur VMware n'utilise pas les versions affectées du noyau Linux.

    Aucun

    GKE sur AWS

    Description Gravité

    Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud.

    Que dois-je faire ?

    Aucune action n'est requise. GKE sur AWS n'utilise pas les versions affectées du noyau Linux.

    Aucun

    GKE sur Azure

    Description Gravité

    Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud.

    Que dois-je faire ?

    Aucune action n'est requise. GKE sur Azure n'utilise pas les versions affectées du noyau Linux.

    Aucun

    Google Distributed Cloud Virtual pour Bare Metal

    Description Gravité

    Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud.

    Que dois-je faire ?

    Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE car il ne regroupe pas de système d'exploitation dans sa distribution.

    Aucun

    GCP-2022-016

    Date de publication : 23/06/2022
    Dernière mise à jour : 22/11/2022
    Référence: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    Mise à jour du 22/11/2022 : ajout d'informations sur les charges de travail exécutées dans les clusters Autopilot.
    Mise à jour du 29/07/2022 : Versions mises à jour de GKE sur VMware, GKE sur AWS et GKE sur Azure.

    GKE

    Dernière mise à jour : 22/11/2022

    Description Gravité

    Mise à jour du 22/11/2022: Les clusters Autopilot ne sont pas affectés par CVE-2022-29581, mais sont vulnérables à CVE-2022-29582 et CVE-2022-1116.


    Mise à jour du 29-07-2022 : les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles.


    Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour Container-Optimized OS et Ubuntu pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :

    • Container-Optimized OS :
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu :
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de mettre à niveau vos nœuds vers la version corrigée avant que cette version ne devienne la version par défaut de la version disponible sélectionnée.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring.

    Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine.

    Élevée

    GKE sur VMware

    Dernière mise à jour : 29-07-2022

    Description Gravité

    Mise à jour du 29/07/2022:versions suivantes de GKE sur VMware contient du code qui corrige ces failles.

    • 1.9.7 ou ultérieure
    • 1.10.5 ou ultérieure
    • 1.11.2 ou ultérieure
    • 1.12.0 ou ultérieure


    Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent GKE sur VMware v1.9 et versions ultérieures pour les images Container-Optimized OS et Ubuntu.

    Que dois-je faire ?

    Les versions de GKE sur VMware contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring.

    Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine.

    Élevée

    GKE sur AWS

    Dernière mise à jour : 29-07-2022

    Description Gravité

    Mise à jour du 29/07/2022: Mise à jour: versions actuelles et précédentes de GKE sur AWS ont été mis à jour avec du code pour corriger ces failles. Mer nous vous recommandons de mettre à niveau vos nœuds vers l'une des Versions de GKE sur AWS:

    Génération actuelle :

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Génération précédente :
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent toutes les versions de GKE sur AWS.

    Que dois-je faire ?

    Les versions de GKE sur AWS contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur AWS seront disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring.

    Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine.

    Élevée

    GKE sur Azure

    Description Gravité

    Mise à jour du 29/07/2022: Mise à jour: les versions suivantes de GKE sur Azure ont été mis à jour avec du code pour corriger ces failles. Mer nous vous recommandons de mettre à niveau vos nœuds vers l'une des Versions de GKE sur Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent toutes les versions de GKE sur Azure.

    Que dois-je faire ?

    Les versions de GKE sur Azure contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur Azure seront disponibles en téléchargement.

    Quelles failles ce correctif permet-il de résoudre ?

    Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring.

    Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine.

    Élevée

    Google Distributed Cloud Virtual pour Bare Metal

    Description Gravité

    Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud.

    Que dois-je faire ?

    Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette faille, car il n'inclut pas de système d'exploitation dans sa distribution.

    Aucun

    GCP-2022-014

    Date de publication : 26/04/2022
    Dernière mise à jour : 22/11/2022
    Mise à jour du 22/11/2022: ajout d'informations sur les charges de travail exécutées dans les clusters Autopilot.
    Mise à jour du 12/05/2022: mises à jour des versions de correctif pour GKE sur AWS et GKE sur Azure.
    Référence: CVE-2022-1055, CVE-2022-27666

    GKE

    Dernière mise à jour : 22/11/2022

    Description Gravité

    Mise à jour du 22/11/2022: Les clusters GKE Autopilot et les charges de travail exécutées dans GKE Sandbox ne sont pas affectés par ces failles.


    Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

    Détails techniques

    Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions suivantes.

    • 1.19.16-gke.11000 et versions ultérieures
    • 1.20.15-gke.5200 et versions ultérieures
    • 1.21.11-gke.1100 et versions ultérieures
    • 1.22.8-gke.200 et versions ultérieures
    • 1.23.5-gke.1500 et versions ultérieures

    Quelles failles ce correctif permet-il de résoudre ?

    Élevée

    GKE sur VMware

    Description Gravité

    Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

    Détails techniques

    Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Que dois-je faire ?

    Mettez à niveau votre cluster vers une version corrigée. Les versions suivantes de GKE sur VMware et les versions ultérieures contiennent le correctif de cette faille:

    • 1.9.6 (à venir)
    • 1.10.3
    • 1.11.0 (à venir)

    Quelles failles ce correctif permet-il de résoudre ?

    Élevée

    GKE sur AWS

    Dernière mise à jour : 12/05/2022

    Description Gravité

    Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

    Détails techniques

    Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Que dois-je faire ?

    Mise à jour du 12/05/2022: Les versions actuelles et précédentes de GKE sur AWS suivantes ont été mis à jour avec du code pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS:

    Génération actuelle
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Génération précédente
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Mettez à niveau votre cluster vers une version corrigée. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles.

    Quelles failles ce correctif permet-il de résoudre ?

    Élevée

    GKE sur Azure

    Dernière mise à jour : 12/05/2022

    Description Gravité

    Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

    Détails techniques

    Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Que dois-je faire ?

    Mise à jour du 12/05/2022: Les versions suivantes de GKE sur Azure ont été mises à jour avec le code nécessaire ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes Versions de GKE sur Azure:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Mettez à niveau votre cluster vers une version corrigée. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles.

    Quelles failles ce correctif permet-il de résoudre ?

    Élevée

    Google Distributed Cloud Virtual pour Bare Metal

    Description Gravité

    Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu).

    Détails techniques

    Dans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud.

    Que dois-je faire ?

    Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE, car il n'inclut pas Linux dans son package. Vous devez vous assurer que les images de nœud que vous utilisez sont mises à jour vers les versions contenant les correctifs pour CVE-2022-1055 et CVE-2022-27666.

    Quelles failles ce correctif permet-il de résoudre ?

    Élevé

    GCP-2022-013

    Date de publication : 11/04/2022
    Dernière mise à jour : 20/04/2022
    Référence: CVE-2022-23648
    Mise à jour du 22/04/2022 : mises à jour des versions de correctif pour Google Distributed Cloud Virtual pour Bare Metal et GKE sur VMware.

    GKE

    Description Gravité

    Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

    Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte tous les systèmes d'exploitation de nœud GKE (Container-Optimized OS et Ubuntu) qui utilisent containerd par défaut. Tous les nœuds GKE, Autopilot et GKE Sandbox sont affectés.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos nœuds vers l'une des versions de GKE suivantes :

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

    Moyenne

    GKE sur VMware

    Mise à jour : 22-04-2022

    Description Gravité

    Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

    Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte tous les GKE sur VMware sur lesquels Stackdriver est activé, qui utilise containerd. Les versions 1.8, 1.9 et 1.10 de GKE sur VMware sont affectées

    Que dois-je faire ?

    Mise à jour du 22/04/2022 : Les versions suivantes de GKE sur VMware contiennent du code qui corrige cette faille.

    • Version 1.9.5 ou ultérieure
    • Version 1.10.3 ou ultérieure
    • Version 1.11.0 ou ultérieure

    Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur VMware:

    • Version 1.8.8 ou ultérieure
    • Version 1.9.5 ou ultérieure
    • Version 1.10.2 ou ultérieure

    Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true".

    Moyenne

    GKE sur AWS

    Description Gravité

    Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

    Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Toutes les versions de GKE sur AWS sont concernées.

    Que dois-je faire ?

    Les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS.

    GKE sur AWS (génération actuelle)
    • Version 1.22 : 1.22.8-gke.200
    • Version 1.21 : 1.21.11-gke.100
    GKE sur AWS (génération précédente)
    • Version 1.22 : 1.22.8-gke.300
    • Version 1.21 : 1.21.11-gke.100
    • Version 1.20 : 1.20.15-gke.2200

    Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true".

    Moyenne

    GKE sur Azure

    Description Gravité

    Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

    Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Toutes les versions de GKE sur Azure sont concernées.

    Que dois-je faire ?

    Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à jour vos nœuds comme suit :

    • Version 1.22 : 1.22.8-gke.200
    • Version 1.21 : 1.21.11-gke.100

    Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true".

    Moyenne

    Google Distributed Cloud Virtual pour Bare Metal

    Mise à jour : 22-04-2022

    Description Gravité

    Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte.

    Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte tous les services Google Distributed Cloud Virtual for Bare Metal qui utilisent containerd. Les versions 1.8, 1.9 et 1.10 de Google Distributed Cloud Virtual for Bare Metal sont affectées

    Que dois-je faire ?

    Mise à jour du 22/04/2022 : Les versions suivantes de Google Distributed Cloud Virtual for Bare Metal contiennent du code qui corrige cette faille.

    • Version 1.8.9 ou ultérieure
    • Version 1.9.6 ou ultérieure
    • Version 1.10.3 ou ultérieure
    • Version 1.11.0 ou ultérieure

    Les versions suivantes de Google Distributed Cloud Virtual for Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de Google Distributed Cloud Virtual for Bare Metal:

    • Version 1.8.8 ou ultérieure
    • Version 1.9.5 ou ultérieure
    • Version 1.10.2 ou ultérieure

    Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true".

    Moyen

    GCP-2022-012

    Date de publication : 07/04/2022
    Dernière mise à jour : 22/11/2022
    Référence: CVE-2022-0847
    Mise à jour du 22/11/2022 : mise à jour des informations sur les charges de travail utilisant GKE Sandbox.

    GKE

    Dernière mise à jour : 22/11/2022

    Description Gravité

    Mise à jour du 22/11/2022: Les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles.


    Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte toutes les versions de pools de nœuds GKE v1.22 et ultérieures qui utilisent des images Container-Optimized OS (Container-Optimized OS 93 et versions ultérieures). Les pools de nœuds GKE qui utilisent le système d'exploitation Ubuntu ne sont pas affectés.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :

    • 1.22.7-gke.1500 et versions ultérieures
    • 1.23.4-gke.1600 et versions ultérieures

    Une fonctionnalité récente des canaux de publication vous permet d'appliquer une version de correctif d'autres canaux de publication sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

    Quelles failles ce correctif permet-il de résoudre ?

    La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges.

    De nouvelles versions de Container-Optimized OS qui résolvent ce problème ont été intégrées aux versions mises à jour des pools de nœuds de GKE.

    Élevée

    GKE sur VMware

    Description Gravité

    Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine. Cette faille affecte GKE sur VMware v1.10 pour les images Container-Optimized OS. Actuellement, GKE sur VMware avec Ubuntu est sur la version de noyau 5.4 et n'est pas vulnérable à cette attaque.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers la version suivante de GKE sur VMware:

    • 1.10.3

    Quelles failles ce correctif permet-il de résoudre ?

    La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges.

    De nouvelles versions de Container-Optimized OS qui résolvent ce problème ont été intégrées aux versions mises à jour de GKE sur VMware.

    Élevée

    GKE sur AWS

    Description Gravité

    Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine.

    Cette faille affecte les clusters gérés de GKE sur AWS v1.21 et les clusters exécutés sur GKE sur AWS (génération précédente) v1.19, v1.20 et v1.21, qui utilisent Ubuntu.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille.

    Pour le service GKE géré sur AWS, nous vous recommandons de mettre à niveau vos clusters d'utilisateur et votre pool de nœuds vers l'une des versions suivantes:

    • 1.21.11-gke.100

    Pour GKE k-lite sur AWS, nous vous recommandons de mettre à niveau vos objets AWSManagementService, AWSCluster et AWSNodePool vers la version suivante:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Quelles failles ce correctif permet-il de résoudre ?

    La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges.

    Élevée

    GKE sur Azure

    Description Gravité

    Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine. Cette faille affecte les clusters gérés de GKE sur Azure v1.21 qui utilisent Ubuntu.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'utilisateur et votre pool de nœuds vers la version suivante :

    • 1.21.11-gke.100

    Quelles failles ce correctif permet-il de résoudre ?

    La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges.

    Élevée

    Google Distributed Cloud Virtual pour Bare Metal

    Description Gravité

    Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine.

    Que dois-je faire ?

    Aucune action n'est requise. Google Distributed Cloud Virtual for Bare Metal n'est pas affecté par cette CVE, car il n'inclut pas Linux dans son package. Vous devez vous assurer que les images de nœuds que vous utilisez sont mises à jour vers les versions contenant le correctif de la faille CVE-2022-0847.

    Élevé

    GCP-2022-011

    Date de publication : 22/03/2022
    Dernière mise à jour : 11/08/2022

    Mise à jour du 11/08/2022 : ajout d'informations sur les effets d'une mauvaise configuration SMT.

    GKE

    Description Gravité

    Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées.

    Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème.


    Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Si vous avez activé manuellement le mode SMT pour un pool de nœuds, ce problème n'affecte pas vos nœuds de bac à sable.

    Que dois-je faire ?

    Mettez à niveau vos nœuds vers l'une des versions suivantes :

    • 1.22.6-gke.1500 et versions ultérieures
    • 1.23.3-gke.1100 et versions ultérieures

    Quelle faille ce correctif permet-il de résoudre ?

    Par défaut, le mode SMT est désactivé sur les nœuds GKE Sandbox, ce qui permet de limiter les attaques sur les versions secondaires.

    Moyen

    GCP-2022-009

    Date de publication : 01-03-2022
    Dernière mise à jour : 15-03-2022

    GKE

    Description Gravité

    Mise à jour du 15/03/2022:ajout de guides de renforcement pour GKE sur AWS et GKE sur Azure. Ajout d'une section sur la persistance avec les webhooks


    Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program.

    Les utilisateurs des clusters GKE Standard et GKE peuvent éventuellement appliquer une règle de renforcement semblable à celle décrite ci-dessous.

    Détails techniques

    Accès à l'hôte impliquant des exceptions aux règles pour certains outils tiers

    Pour permettre à Google Cloud de proposer une gestion complète des nœuds et un contrat de niveau de service au niveau des pods, GKE Autopilot restreint certaines primitives Kubernetes à privilèges élevés afin d'empêcher les charges de travail d'obtenir un accès de bas niveau à la VM de nœud. Pour replacer ces éléments dans leur contexte : GKE Standard offre un accès complet au calcul sous-jacent, Autopilot présente un accès limité et Cloud Run ne présente aucun accès.

    Autopilot assouplit certaines de ces restrictions pour une liste prédéfinie d'outils tiers afin de permettre aux clients d'exécuter ces outils sur Autopilot sans modification. En utilisant des droits permettant de créer des pods avec des montages de chemin d'accès à l'hôte, le chercheur a pu exécuter dans un pod un conteneur privilégié qui ressemblait à l'un de ces outils tiers figurant dans la liste d'autorisation, afin d'obtenir l'accès à l'hôte.

    La capacité à planifier des pods de cette manière est normale sur GKE Standard, mais pas sur GKE Autopilot, car cela implique de contourner les restrictions d'accès à l'hôte servant à activer le contrat de niveau de service décrit précédemment.

    Ce problème a été résolu en restreignant la spécification de la liste d'autorisation des outils tiers pour le pod.

    Élévation des privilèges à partir de la racine sur un nœud

    En plus de l'accès à l'hôte, les pods stackdriver-metadata-agent-cluster-level et metrics-server ont été identifiés comme étant très privilégiés. Après avoir obtenu un accès au nœud au niveau racine, ces services peuvent être utilisés pour obtenir davantage de contrôle sur le cluster.

    Nous avons abandonné et supprimé stackdriver-metadata-agent pour GKE Standard et Autopilot. Ce composant est toujours utilisé sur GKE sur VMware et Google Distributed Cloud Virtual for Bare Metal.

    Afin de renforcer la protection du système contre ce type d'attaque à l'avenir, nous appliquerons dans une version ultérieure une contrainte Autopilot empêchant les mises à jour du compte de service de divers objets dans l'espace de noms kube-system. Nous avons développé une règle Gatekeeper pour vous permettre d'appliquer une protection similaire aux clusters GKE Standard et GKE afin d'empêcher l'auto-modification des charges de travail privilégiées. Cette règle est appliquée automatiquement aux clusters Autopilot. Pour obtenir des instructions, consultez les guides de renforcement suivants :


    15-03-2022: persistance avec des webhooks en mutation

    Les webhooks ont été utilisés dans le rapport pour établir une base privilégiée dans le cluster après compromis. Il s'agit d'éléments standards de l'API Kubernetes créés par les administrateurs de cluster. Ils ont été rendus visibles aux administrateurs lorsque Autopilot a ajouté la compatibilité avec les webhooks définis par le client.


    Comptes de service avec privilèges dans l'espace de noms par défaut

    Les outils d'application de la règle Autopilot autorisaient précédemment deux comptes de service dans l'espace de noms par défaut : csi-attacher et otelsvc afin d'accorder des droits spéciaux à ces comptes de service. Un pirate informatique disposant de droits élevés, y compris les autorisations permettant de créer des objets ClusterRoleBinding et ayant un accès autorisant la création de pods dans l'espace de noms par défaut, peut utiliser ces noms de compte de service pour accéder à ces droits supplémentaires. Ces services ont été déplacés sous l'espace de noms kube-system afin de leur faire bénéficier de la protection de la règle Autopilot existante. Les clusters GKE Standard et GKE ne sont pas affectés.

    Que dois-je faire ?

    Les règles de tous les clusters GKE Autopilot ont été mises à jour pour supprimer l'accès involontaire à l'hôte et aucune autre action n'est requise.

    Dans les semaines à venir, le renforcement de la stratégie sera appliqué à Autopilot pour fournir une protection secondaire. Vous n'avez rien à faire.

    Les clusters GKE Standard et GKE ne sont pas affectés, car les utilisateurs ont déjà accès à l'hôte. Comme mesure de renforcement du système, les utilisateurs des clusters GKE Standard et GKE peuvent appliquer une protection similaire avec une règle de gardien qui empêche l'auto-modification des charges de travail privilégiées. Pour obtenir des instructions, consultez les guides de renforcement suivants :

    Faible

    GCP-2022-008

    Date de publication : 23-02-2022
    Mise à jour : 28-04-2022
    Référence : CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    Description Gravité
    Le projet Envoy a récemment découvert un ensemble de failles, CVE-2022-23606, CVE-2022-21655 et CVE-2021-43826., CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657 et CVE-2022-21656 pouvant avoir un impact sur les clusters GKE utilisant Anthos Service Mesh, Istio-on-GKE ou des déploiements Istio personnalisés.
    Tous les problèmes répertoriés ci-dessous sont résolus dans la version 1.21.1 d'Envoy.
    Informations techniques
    Pour en savoir plus sur ces failles, cliquez ici.

    Que dois-je faire ?

    Les clusters GKE exécutant Anthos Service Mesh doivent être mis à jour vers une version compatible avec les failles ci-dessus.
    • Si vous utilisez Anthos Service Mesh 1.12, passez à la version 1.12.4-asm.0.
    • Si vous utilisez Anthos Service Mesh 1.11, passez à la version 1.11.7-asm.1.
    • Si vous utilisez Anthos Service Mesh 1.10, passez à la version 1.10.6-asm.1.
    Si vous utilisez Anthos Service Mesh v1.9 ou une version antérieure, votre version est arrivée en fin de vie et n'est plus prise en charge. Ces correctifs CVE n'ont pas été rétroportés. Vous devez effectuer une mise à jour vers ASM 1.10 ou une version ultérieure.

    Les clusters GKE exécutant Istio-on-GKE doivent être mis à jour vers une version compatible avec les failles ci-dessus.
    • Si vous utilisez Istio-on-GKE 1.6, passez à la version 1.6.14-gke.8.
    • Si vous utilisez Istio-on-GKE 1.4.11, passez à la version 1.4.11-gke.4.
    • Si vous utilisez Istio-on-GKE 1.4.10, passez à la version 1.4.10-gke.23.
    • Si vous utilisez GKE 1.22 ou une version ultérieure, veuillez utiliser Istio GKE 1.4.10. Sinon, utilisez Istio-on-GKE 1.4.11.

    Quelles failles ce correctif permet-il de résoudre ?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, et CVE-2022-21656
    Élevée

    GKE sur VMware

    Mise à jour : 28-04-2022

    Description Gravité
    Envoy a récemment publié plusieurs correctifs de failles de sécurité. GKE sur VMware est car Envoy est utilisé avec metrics-server. Les CVE Envoy que nous corrigeons sont répertoriées ci-dessous. Nous mettrons à jour ce bulletin en y ajoutant des versions spécifiques lorsqu'elles seront disponibles :
    • CVE-2021-43824 (score CVSS 6.5, moyen) : déréférencement possible de pointeur NULL lorsque vous utilisez la correspondance safe_regex du filtre JWT.
      Remarque : Bien que ASM/Istio-on-GKE ne soient pas compatibles avec les filtres Envoy, vous pourriez être affecté si vous utilisez une expression régulière de filtre JWT.
    • CVE-2021-43825 (score CVSS 6.1, moyen) : disponible après l'utilisation gratuite lorsque les filtres de réponse augmentent les données de réponse et que l'augmentation des données dépasse les limites de la mémoire tampon en aval.
      Remarque : Bien que ASM/Istio-on-GKE ne soient pas compatibles avec les filtres Envoy, vous pourriez être affecté si vous utilisez un filtre de décompression.
    • CVE-2021-43826 (score CVSS 6.1, moyen) : vulnérabilité de type "use-after-free" lors de la tunnelisation TCP sur HTTP, en cas de déconnexion en aval lors de l'établissement de la connexion en amont.
      Remarque : Bien que ASM/Istio-on-GKE ne soient pas compatibles avec les filtres Envoy, vous pourriez être affecté si vous utilisez un filtre de tunnelisation.
    • CVE-2022-21654 (score CVSS 7.3, élevé) : la gestion incorrecte des configurations permet la réutilisation des sessions mTLS sans revalidation après la modification des paramètres de validation.
      Remarque : Tous les services ASM/Istio-on-GKE utilisant mTLS sont affectés par cette faille CVE.
    • CVE-2022-21655 (score CVSS 7.5, élevé) : traitement incorrect des redirections internes vers les routes avec une entrée de réponse directe.
      Remarque : Bien que ASM/Istio-on-GKE ne soient pas compatibles avec les filtres Envoy, vous pourriez être affecté si vous utilisez un filtre de réponse directe.
    • CVE-2022-23606 (score CVSS 4.4, moyen) : épuisement de la pile lorsqu'un cluster est supprimé via le service de détection de clusters.
      Remarque : Cette faille CVE affecte la version 1.11 et les versions ultérieures d'ASM. ASM 1.10 et Istio-on-GKE ne sont pas affectés par cette faille CVE.
    • CVE-2022-21657 (score CVSS 3.1, faible) : les version d'Envoy jusqu'à la version 1.20.1 contiennent une faille exploitable à distance en raison du contournement X.509 de l'utilisation étendue de la clé et des objectifs de confiance.
    • CVE-2022-21656 (Score CVSS 3.1, Faible) : les versions d'Envoy jusqu'à la version 1.20.1 contiennent une faille exploitable à distance en raison du contournement X.509 de la mise en correspondance "subjectAltName" (et nameConstraints).

    Istio a récemment publié un correctif de faille de sécurité. Anthos sur VMware est affecté, car Istio est utilisé pour le trafic entrant. Les CVE Istio que nous corrigeons sont répertoriées ci-dessous. Nous mettrons à jour ce bulletin en y ajoutant des versions spécifiques lorsqu'elles seront disponibles :

    CVE-2022-23635 (score CVSS 7.5, élevé) : Istiod plante en cas de réception de requêtes avec un en-tête `authorization` spécialement conçu.


    Pour obtenir la description complète et les impacts des CVE ci-dessus, consultez les bulletins de sécurité.

    Ajout 28-04-2022 : Que dois-je faire ?

    Les versions suivantes de GKE sur VMware corrigent ces failles:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Quelles failles ce correctif permet-il de résoudre ?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, et CVE-2022-21656
    Élevée

    Google Distributed Cloud Virtual pour Bare Metal

    Description Gravité
    Envoy a récemment publié plusieurs correctifs de failles de sécurité. Anthos sur solution Bare Metal est affecté, car Envoy est utilisé avec metrics-server. Les failles CVE d'Envoy dans les versions 1.10.3, 1.9.6 et 1.8.9 sont répertoriées ci-dessous :
    • CVE-2021-43824 (score CVSS 6.5, moyen) : déréférencement possible de pointeur NULL lorsque vous utilisez la correspondance safe_regex du filtre JWT.
      Remarque : Bien que ASM/Istio-on-GKE ne soient pas compatibles avec les filtres Envoy, vous pourriez être affecté si vous utilisez une expression régulière de filtre JWT.
    • CVE-2021-43825 (score CVSS 6.1, moyen) : disponible après l'utilisation gratuite lorsque les filtres de réponse augmentent les données de réponse et que l'augmentation des données dépasse les limites de la mémoire tampon en aval.
      Remarque : Bien que ASM/Istio-on-GKE ne soient pas compatibles avec les filtres Envoy, vous pourriez être affecté si vous utilisez un filtre de décompression.
    • CVE-2021-43826 (score CVSS 6.1, moyen) : vulnérabilité de type "use-after-free" lors de la tunnelisation TCP sur HTTP, en cas de déconnexion en aval lors de l'établissement de la connexion en amont.
      Remarque : Bien que ASM/Istio-on-GKE ne soient pas compatibles avec les filtres Envoy, vous pourriez être affecté si vous utilisez un filtre de tunnelisation.
    • CVE-2022-21654 (score CVSS 7.3, élevé) : la gestion incorrecte des configurations permet la réutilisation des sessions mTLS sans revalidation après la modification des paramètres de validation.
      Remarque : Tous les services ASM/Istio-on-GKE utilisant mTLS sont affectés par cette faille CVE.
    • CVE-2022-21655 (score CVSS 7.5, élevé) : traitement incorrect des redirections internes vers les routes avec une entrée de réponse directe.
      Remarque : Bien que ASM/Istio-on-GKE ne soient pas compatibles avec les filtres Envoy, vous pourriez être affecté si vous utilisez un filtre de réponse directe.
    • CVE-2022-23606 (score CVSS 4.4, moyen) : épuisement de la pile lorsqu'un cluster est supprimé via le service de détection de clusters.
      Remarque : Cette faille CVE affecte la version 1.11 et les versions ultérieures d'ASM. ASM 1.10 et Istio-on-GKE ne sont pas affectés par cette faille CVE.
    • CVE-2022-21657 (score CVSS 3.1, faible) : les version d'Envoy jusqu'à la version 1.20.1 contiennent une faille exploitable à distance en raison du contournement X.509 de l'utilisation étendue de la clé et des objectifs de confiance.
    • CVE-2022-21656 (Score CVSS 3.1, Faible) : les versions d'Envoy jusqu'à la version 1.20.1 contiennent une faille exploitable à distance en raison du contournement X.509 de la mise en correspondance "subjectAltName" (et nameConstraints).
    Istio a récemment publié un correctif de faille de sécurité. Anthos sur solution Bare Metal est affecté, car Istio est utilisé pour le trafic entrant. Les failles CVE d'Istio dans les versions 1.10.3, 1.9.6 et 1.8.9 sont répertoriées ci-dessous :

    • CVE-2022-23635 (score CVSS 7.5, élevé) : Istiod plante en cas de réception de requêtes avec un en-tête `authorization` spécialement conçu.
      Remarque : Toutes les failles ASM/Istio-on-GKE sont affectées par cette faille CVE.

    Pour obtenir la description complète et les impacts des CVE ci-dessus, consultez les bulletins de sécurité.

    Quelles failles ce correctif permet-il de résoudre ?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, et CVE-2022-21656
    Élevé

    GCP-2022-006

    Date de publication : 14/02/2022
    Mise à jour : 16-05-2022
    Mise à jour du 16/05/2022 : Ajout de la version 1.19.16-gke.7800 de GKE ou d'une version ultérieure à la liste des versions contenant du code pour corriger cette faille.
    Mise à jour du 12/05/2022 : mises à jour des versions de correctif pour GKE, Google Distributed Cloud Virtual pour Bare Metal, GKE sur VMware et GKE sur AWS. Correction d'un problème qui empêchait le bulletin de sécurité pour GKE sur AWS affiché lors de son ajout le 23/02/2022.

    GKE

    Description Gravité

    Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction cgroup_release_agent_write du noyau Linux. L'attaque utilise des espaces de noms utilisateur non privilégiés et, dans certaines circonstances, peut être exploitable pour l'interruption d'un conteneur.

    Que dois-je faire ?

    Mise à jour du 16/05/2022 : en plus des versions GKE mentionnées dans la mise à jour du 12/05/2022, la version GKE 1.19.16-gke.7800 ou ultérieure contient également du code qui résout ce problème.


    Mise à jour du 12/05/2022 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille :

    • 1.20.15-gke.5600 (et versions ultérieures)
    • 1.21.11-gke.1500 (et versions ultérieures)
    • 1.22.8-gke.1800 (et versions ultérieures)
    • 1.23.5-gke.1800 (et versions ultérieures)

    Mise à jour du 15-02-2022 : instruction gVisor corrigée.

    Cette faille se trouve dans le champ cgroup_release_agent_write du noyau Linux dans la fonction kernel/cgroup/cgroup-v1.c et peut être utilisée pour l'interruption d'un conteneur. GKE n'est pas affecté grâce à la protection du profil AppArmor par défaut sur Ubuntu et COS. Toutefois, certains clients peuvent toujours être vulnérables s'ils ont assoupli les restrictions de sécurité des pods via la modification du champ securityContext du pod ou du conteneur, par exemple, en désactivant ou modifiant le profil AppArmor, ce qui n'est pas recommandé. Outre le profil AppArmor par défaut, ces fonctionnalités protègent également contre la faille :

    • GKE Autopilot n'est pas affecté en raison du profil seccomp par défaut.
    • Mise à jour du 15/02/2022 : gVisor (GKE Sandbox) n'est pas affecté, car gVisor n'autorise pas l'accès à l'appel système de la faille sur l'hôte.

    Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles.

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2022-0492

    Faible

    Clusters GKE activés

    Description Gravité

    Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction cgroup_release_agent_write du noyau Linux. L'attaque utilise des espaces de noms utilisateur non privilégiés et, dans certaines circonstances, peut être exploitable pour l'interruption d'un conteneur.

    Que dois-je faire ?

    Mise à jour du 12/05/2022: Les versions suivantes de GKE sur VMware contiennent du code qui résout ce problème la faille.

    COS
    • Version 1.8.8 ou ultérieure
    • Version 1.9.5 ou ultérieure
    • Version 1.10.2 ou ultérieure
    • Version 1.11.0 ou ultérieure
    Ubuntu
    • Version 1.9.6 ou ultérieure
    • Version 1.10.3 ou ultérieure
    • Version 1.11.0 ou ultérieure

    Cette faille se trouve dans le champ cgroup_release_agent_write du noyau Linux, dans la fonction kernel/cgroup/cgroup-v1.c et peut être utilisée pour l'interruption d'un conteneur. GKE sur VMware ne sont pas affectés en raison de la protection accordée par le profil AppArmor par défaut activé Ubuntu et COS. Cependant, certains clients peuvent encore être vulnérables s'ils ont assoupli des restrictions de sécurité appliquées aux pods par le biais de la modification du pod ou du contexte de sécurité du conteneur ; ex. : en désactivant/modifiant le profil AppArmor, ce qui n'est pas recommandé.

    Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles.

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2022-0492

    Faible

    GKE sur AWS

    Description Gravité

    Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction cgroup_release_agent_write du noyau Linux. L'attaque utilise des espaces de noms utilisateur non privilégiés et, dans certaines circonstances, peut être exploitable pour l'interruption d'un conteneur.

    Que dois-je faire ?

    Mise à jour du 12/05/2022: Les versions suivantes de la génération actuelle et précédente de GKE sur AWS contiennent qui corrige cette faille:

    Génération actuelle
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Génération précédente
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Mise à jour du 23/02/2022:ajout d'une note pour GKE sur AWS.

    Les générations précédentes et actuelles de GKE sur AWS ne sont pas affectées en raison de la protection à partir du profil AppArmor par défaut sur Ubuntu. Toutefois, certains clients peuvent toujours être vulnérables s'ils ont assoupli les restrictions de sécurité des pods via la modification du champ securityContext du pod ou du conteneur, par exemple, en désactivant ou modifiant le profil AppArmor, ce qui n'est pas recommandé.

    Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès que des informations sont disponibles.

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2022-0492

    Faible

    GKE Enterprise activé

    Description Gravité

    Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction cgroup_release_agent_write du noyau Linux. L'attaque utilise des espaces de noms utilisateur non privilégiés et, dans certaines circonstances, peut être exploitable pour l'interruption d'un conteneur.

    Que dois-je faire ?

    Mise à jour du 12/05/2022: Les versions suivantes de GKE sur Azure contiennent du code qui résout ce problème faille:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE sur Azure n'est pas affecté en raison de la protection accordée par le profil AppArmor par défaut sur Ubuntu. Toutefois, certains clients peuvent toujours être vulnérables s'ils ont assoupli les restrictions de sécurité des pods via la modification du champ securityContext du pod ou du conteneur, par exemple, en désactivant ou modifiant le profil AppArmor, ce qui n'est pas recommandé.

    Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles.

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2022-0492

    Faible

    GCP-2022-005

    Date de publication : 11/02/2022
    Dernière mise à jour : 15-02-2022
    Référence: CVE-2021-43527

    GKE

    Description Gravité
    Mise à jour du 15-02-2022 : certaines versions de GKE mentionnées dans le bulletin d'origine étaient combinées à d'autres correctifs et leurs numéros de version étaient incrémentés avant la publication. Les correctifs sont disponibles dans les versions GKE suivantes :
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré. La version installée des images GKE COS et Ubuntu est vulnérable et doit être corrigée.

    La faille CVE-2021-43527 peut potentiellement avoir un impact important sur les applications utilisant le service NSS pour gérer les signatures encodées dans CMS, S/MIME, PKCS#7 ou PKCS#12. Les applications qui utilisent NSS pour la validation des certificats ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent aussi être affectées. L'impact dépend de la manière dont NSS est utilisé/configuré.

    GKE n'utilise libnss3 pour aucune API accessible sur Internet. L'impact est limité au code hôte exécuté en dehors des conteneurs et est donc faible, du fait de la conception minimale de Chrome OS. Le code GKE qui s'exécute à l'intérieur de conteneurs utilisant l'image de base golang distroless n'est pas affecté.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles. Mettez à jour votre plan de contrôle et vos nœuds vers l'une des versions GKE suivantes :

    • Version 1.18 à déterminer
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Utilisez-vous une version GKE antérieure à la version 1.18 ? Vous utilisez une version de GKE dont le contrat de niveau de service a expiré et vous devriez envisager de passer à l'une des versions compatibles.

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2021-43527

    Moyenne

    Clusters GKE activés

    Description Gravité

    Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, selon leur configuration NSS. Les deux Une version vulnérable des images GKE sur VMware COS et Ubuntu doit être installée être corrigé.

    La faille CVE-2021-43527 peut potentiellement avoir un impact important sur les applications utilisant le service NSS pour gérer les signatures encodées dans CMS, S/MIME, PKCS \#7 ou PKCS \#12. Les applications qui utilisent NSS pour la validation des certificats ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent aussi être affectées. L'impact dépend de la manière dont elles utilisent/configurent NSS. Anthos sur VMware n'utilise pas libnss3 pour les API accessibles au public. L'impact est donc limité. et la gravité de cette faille CVE pour GKE sur VMware est évaluée comme moyenne.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes d'Anthos ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau votre plan de contrôle et vos nœuds vers l'une des versions d'Anthos suivantes :

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Utilisez-vous une version de GKE sur VMware antérieure à 1.18 ? Vous utilisez une version d'Anthos dont le contrat de niveau de service a expiré et vous devriez envisager de passer à l'une des versions compatibles.

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2021-43527

    Moyenne

    GKE Enterprise activé

    Description Gravité

    Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré. La version installée des images Ubuntu Anthos clusters on Azure est vulnérable et doit être corrigée.

    La faille CVE-2021-43527 peut potentiellement avoir un impact important sur les applications utilisant le service NSS pour gérer les signatures encodées dans CMS, S/MIME, PKCS#7 ou PKCS#12. Les applications qui utilisent NSS pour la validation des certificats ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent aussi être affectées. L'impact dépend de la manière dont elles utilisent/configurent NSS. Anthos clusters on Azure n'utilise libnss3 pour aucune des API accessibles au public. Par conséquent, l'impact est limité et le niveau de gravité de cette faille CVE pour Anthos clusters on Azure est classé comme "Moyen".

    Que dois-je faire ?

    Versions des images de nœuds Linux pour les versions suivantes de GKE sur Azure ont été mis à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions d'Anthos on Azure suivantes :

    • v1.21.6-gke.1500

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2021-43527

    Moyen

    GCP-2022-004

    Date de publication : 04/02/2022
    Référence: CVE-2021-4034

    GKE

    Description Gravité

    Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle.

    Que dois-je faire ?

    GKE n'est pas affecté, car le module vulnérable, policykit-1, n'est pas installé sur les images COS ou Ubuntu utilisées dans GKE. Aucune action n'est requise.

    Aucun

    Clusters GKE activés

    Description Gravité

    Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle.

    La configuration par défaut de GKE Enterprise accorde déjà aux utilisateurs droits. Par conséquent, cet exploit ne modifie pas la stratégie de sécurité existante de GKE Enterprise

    Détails techniques

    Pour que ce bug soit exploitable, un pirate informatique doit disposer d'un shell non racine sur le système de fichiers de nœud et avoir installé la version vulnérable de pkexec. Bien que GKE sur VMware inclue une version de policykit-1 dans ses images de publication, la configuration par défaut de GKE Enterprise permet à toute personne ayant déjà un accès au shell d'utiliser la commande sudo sans mot de passe. Cette faille n'accorde donc pas à l'utilisateur plus de droits que ceux dont il dispose déjà.

    Que dois-je faire ?

    Aucune action n'est requise. GKE sur VMware n'est pas affecté.

    Aucun

    Clusters GKE activés

    Description Gravité
    GKE sur AWS n'est pas affecté. Le module vulnérable, policykit-1, n'est pas installé sur les images Ubuntu utilisées par les versions actuelle et antérieures de GKE sur AWS. Aucun

    GKE Enterprise activé

    Description Gravité

    Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle.

    La configuration par défaut de GKE Enterprise accorde déjà aux utilisateurs droits. Par conséquent, cet exploit ne modifie pas la stratégie de sécurité existante de GKE Enterprise

    Détails techniques

    Pour que ce bug soit exploitable, un pirate informatique doit disposer d'un shell non racine sur le système de fichiers de nœud et avoir installé la version vulnérable de pkexec. Bien que GKE sur Azure inclue une version de policykit-1 dans ses images de publication, la configuration par défaut de GKE Enterprise permet à toute personne ayant déjà un accès au shell d'utiliser la commande sudo sans mot de passe. Cette faille n'accorde donc pas à l'utilisateur plus de droits que ceux dont il dispose déjà.

    Que dois-je faire ?

    Aucune action n'est requise. GKE sur Azure n'est pas affecté.

    Aucun

    Clusters GKE activés

    Description Gravité
    Google Distributed Cloud Virtual for Bare Metal peut être affecté en fonction des packages installés sur le système d'exploitation géré par le client. Analysez vos images d'OS et appliquez-leur les correctifs si nécessaire. None

    GCP-2022-002

    Date de publication : 01/02/2022
    Dernière mise à jour : 07/03/2022
    Référence:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Mise à jour du 04/02/2022 : ajout de sections pour GKE sur AWS et GKE sur Azure. Ajout de mises à jour de déploiement pour GKE et GKE sur VMware.

    GKE

    Mis à jour : 07/03/2022

    Description Gravité

    Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure.

    Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles.

    Pour en savoir plus, consultez la page Notes de version COS.

    Détails techniques

    Dans la faille CVE-2021-4154, un pirate informatique peut exploiter le paramètre d'appel du système fsconfig pour déclencher un bug "use-after-free" dans le noyau Linux, ce qui entraîne l'obtention de privilèges racine. Il s'agit d'une attaque par élévation des privilèges locaux qui entraîne une interruption du conteneur.

    La faille CVE-2021-22600 est une attaque "double-free" dans paquet_set_ring qui peut entraîner l'échappement du conteneur vers le nœud hôte.

    Avec la faille CVE-2022-0185, un bug de dépassement du tas de mémoire dans Legacy_parse_param() peut produire une écriture hors limites qui entraînera une interruption du conteneur.

    Le chemin d'exploitation de cette faille qui repose sur l'appel système "unshare" est bloqué par défaut sur les clusters GKE Autopilot à l'aide du filtrage seccomp.

    Les utilisateurs qui ont activé manuellement le profil seccomp de l'environnement d'exécution du conteneur par défaut sur les clusters GKE standards sont également protégés.

    Que dois-je faire ?

    Mise à jour du 07/03/2022 : les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code afin de corriger toutes ces failles pour les images Ubuntu et COS. Mettez à niveau votre plan de contrôle et vos nœuds vers l'une des versions GKE suivantes :

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Mise à jour du 25-02-2022 : si vous utilisez des images de nœuds Ubuntu, 1.22.6-gke.1000 ne traite pas la faille CVE-2021-22600. Nous mettrons à jour ce bulletin en y ajoutant les versions de correctif Ubuntu lorsqu'elles seront disponibles.


    Mise à jour du 23-02-2022 : les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code afin de corriger ces failles. Mettez à niveau vos clusters vers l'une des versions suivantes.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février.


    Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    es versions 1.22 et 1.23 sont également en cours. Nous mettrons à jour ce bulletin en y ajoutant des versions spécifiques lorsqu'elles seront disponibles.

    Quelle faille ce correctif permet-il de résoudre ?

    Élevée

    Clusters GKE activés

    Dernière mise à jour : 23-02-2022

    Description Gravité

    Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure.

    Pour en savoir plus, consultez la page Notes de version COS.

    Détails techniques

    Dans la faille CVE-2021-4154, un pirate informatique peut exploiter le paramètre d'appel du système fsconfig pour déclencher un bug "use-after-free" dans le noyau Linux, ce qui entraîne l'obtention de privilèges racine. Il s'agit d'une attaque par élévation des privilèges locaux qui entraîne une interruption du conteneur.

    La faille CVE-2021-22600 est une attaque "double-free" dans paquet_set_ring qui peut entraîner l'échappement du conteneur vers le nœud hôte.

    Avec la faille CVE-2022-0185, un bug de dépassement du tas de mémoire dans Legacy_parse_param() peut produire une écriture hors limites qui entraînera une interruption du conteneur.

    Les utilisateurs qui ont activé manuellement le profil seccomp de l'environnement d'exécution du conteneur par défaut sur les clusters GKE standards sont également protégés.

    Que dois-je faire ?

    Mise à jour du 23-02-2022 : la version 1.10.2 (correctifs CVE-2021-22600, CVE-2021-4154 et CVE-2022-0185) est désormais prévue pour le 1er mars.

    Mise à jour du 23-02-2022 : ajout de versions corrigées qui traitent la faille CVE-2021-2260.

    La version 1.10.1 ne résout pas les problèmes liés à la faille CVE-2021-22600, mais traite les autres failles. Les versions 1.9.4 et 1.10.2, non publiées, résoudront la faille CVE-2021-22600. Les versions des images de nœuds Linux pour les versions suivantes de GKE sur VMware a été mis à jour avec du code pour corriger ces failles. Mettez à niveau votre clusters vers l'une des versions suivantes de GKE sur VMware:

    • 1.10.1 (correctifs CVE-2021-4154 et CVE-2022-0185. Publiés le 10 février)
    • 1.8.7 (Correctifs CVE-2021-22600, CVE-2021-4154 et CVE-2022-0185. Publiés le 17 février)
    • 1.9.4 (Correctifs CVE-2021-22600, CVE-2021-4154 et CVE-2022-0185. Publiés le 23 février)
    • 1.10.2 (Correctifs CVE-2021-22600, CVE-2021-4154 et CVE-2022-0185. Programmés pour le 24 février)

    Mise à jour du 04-02-2022 : ajout d'informations sur les images Ubuntu qui ne traitent pas la faille CVE-2021-22600.

    Les versions des images de nœuds Linux pour les versions suivantes de GKE sur VMware disposent de a été mis à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'un des versions suivantes de GKE sur VMware:

    • 1.10.1 (mise à jour COS uniquement Le correctif Ubuntu sera présent dans la version 1.10.2-23 programmée le 23 février.
    • 1.9.4 (programmée le 15 février)
    • 1.8.7 (programmée le 15 février)

    Quelle faille ce correctif permet-il de résoudre ?

    Élevée

    Clusters GKE activés

    Description Gravité

    Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure.

    Pour en savoir plus, consultez la page Notes de version COS.

    Détails techniques

    Dans la faille CVE-2021-4154, un pirate informatique peut exploiter le paramètre d'appel du système fsconfig pour déclencher un bug "use-after-free" dans le noyau Linux, ce qui entraîne l'obtention de privilèges racine. Il s'agit d'une attaque par élévation des privilèges locaux qui entraîne une interruption du conteneur.

    La faille CVE-2021-22600 est une attaque "double-free" dans paquet_set_ring qui peut entraîner l'échappement du conteneur vers le nœud hôte.

    Avec la faille CVE-2022-0185, un bug de dépassement du tas de mémoire dans Legacy_parse_param() peut produire une écriture hors limites qui entraînera une interruption du conteneur.

    Les utilisateurs qui ont activé manuellement le profil seccomp de l'environnement d'exécution du conteneur par défaut sur les clusters GKE standards sont également protégés.

    Que dois-je faire ?

    GKE sur AWS

    Les versions des images de nœuds Linux pour les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers la version suivante de GKE sur AWS:

    • 1.21.6-gke.1500 et versions ultérieures (disponible en février)

    GKE sur AWS (génération précédente)

    Les versions des images de nœuds Linux pour les versions suivantes de GKE sur AWS (génération précédente) ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions suivantes de GKE sur AWS (génération précédente) :

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Quelle faille ce correctif permet-il de résoudre ?

    Élevée

    GKE Enterprise activé

    Description Gravité

    Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure.

    Pour en savoir plus, consultez la page Notes de version COS.

    Détails techniques

    Dans la faille CVE-2021-4154, un pirate informatique peut exploiter le paramètre d'appel du système fsconfig pour déclencher un bug "use-after-free" dans le noyau Linux, ce qui entraîne l'obtention de privilèges racine. Il s'agit d'une attaque par élévation des privilèges locaux qui entraîne une interruption du conteneur.

    La faille CVE-2021-22600 est une attaque "double-free" dans paquet_set_ring qui peut entraîner l'échappement du conteneur vers le nœud hôte.

    Avec la faille CVE-2022-0185, un bug de dépassement du tas de mémoire dans Legacy_parse_param() peut produire une écriture hors limites qui entraînera une interruption du conteneur.

    Les utilisateurs qui ont activé manuellement le profil seccomp de l'environnement d'exécution du conteneur par défaut sur les clusters GKE standards sont également protégés.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers la version suivante de GKE sur Azure:

    • 1.21.6-gke.1500 et versions ultérieures (disponible en février)

    Quelle faille ce correctif permet-il de résoudre ?

    Élevé

    GCP-2021-024

    Date de publication : 21/10/2021
    Référence: CVE-2021-25742

    GKE

    Description Gravité

    Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms.

    Que dois-je faire ?

    Ce problème de sécurité n'affecte pas votre cluster GKE infrastructure ou toute infrastructure de cluster d'environnements GKE Enterprise. Si vous utilisez ingress-nginx lors de vos déploiements de charges de travail, vous devez avoir connaissance de ce problème de sécurité. Pour en savoir plus, consultez la page Problème ingress-nginx 7837.

    Aucun

    Clusters GKE activés

    Description Gravité

    Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms.

    Que dois-je faire ?

    Ce problème de sécurité n'affecte pas votre cluster GKE infrastructure ou toute infrastructure de cluster d'environnements GKE Enterprise. Si vous utilisez ingress-nginx lors de vos déploiements de charges de travail, vous devez avoir connaissance de ce problème de sécurité. Pour en savoir plus, consultez la page Problème ingress-nginx 7837.

    Aucun

    Clusters GKE activés

    Description Gravité

    Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms.

    Que dois-je faire ?

    Ce problème de sécurité n'affecte pas votre cluster GKE infrastructure ou toute infrastructure de cluster d'environnements GKE Enterprise. Si vous utilisez ingress-nginx lors de vos déploiements de charges de travail, vous devez avoir connaissance de ce problème de sécurité. Pour en savoir plus, consultez la page Problème ingress-nginx 7837.

    Aucun

    Clusters GKE activés

    Description Gravité

    Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms.

    Que dois-je faire ?

    Ce problème de sécurité n'affecte pas votre cluster GKE infrastructure ou toute infrastructure de cluster d'environnements GKE Enterprise. Si vous utilisez ingress-nginx lors de vos déploiements de charges de travail, vous devez avoir connaissance de ce problème de sécurité. Pour en savoir plus, consultez la page Problème ingress-nginx 7837.

    Aucun

    GCP-2021-019

    Publié : 2021-09-29

    GKE

    Description Gravité

    Il existe un problème connu lorsque la mise à jour d'une ressource BackendConfig à l'aide de l'API v1beta1 supprime des règles de sécurité Google Cloud Armor actives de son service.

    Suis-je concerné ?

    Si votre BackendConfig a déjà été mise à jour avec l'API v1beta1, votre stratégie de sécurité Google Cloud Armor a peut-être été supprimée. Pour déterminer si c'est le cas, exécutez la commande suivante :

    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Si la réponse renvoie des résultats : votre cluster est affecté par le problème. Le résultat de cette commande renvoie la liste des ressources BackendConfig (<namespace>/<name>) concernées par le problème.
    • Si le résultat est vide : cela signifie que votre BackendConfig n'a pas été mise à jour à l'aide de l'API v1beta1 depuis l'apparition du problème. Une mise à jour ultérieure de votre BackendConfig ne doit utiliser que la version v1.

    Ce problème affecte les versions GKE suivantes :

    • 1.18.19-gke.1400 à 1.18.20-gke.5100 (exclusive)
    • 1.19.10-gke.700 à 1.19.14-gke.300 (exclusive)
    • 1.20.6-gke.700 à 1.20.9-gke.900 (exclusive)
    • 1.21 à 1.21.1-gke.2700 (exclusive)

    Si vous ne configurez pas Google Cloud Armor sur vos ressources Ingress via une ressource BackendConfig, ce problème n'affecte pas vos clusters.

    Que dois-je faire ?

    Mettez à niveau votre plan de contrôle GKE vers l'une des versions mises à jour suivantes, qui corrigent ce problème et permettent d'utiliser les ressources v1beta1 BackendConfig en toute sécurité :

    • 1.21.1-gke.2700 et versions ultérieures
    • 1.20.9-gke.900 et versions ultérieures
    • 1.19.14-gke.300 et versions ultérieures
    • 1.18.20-gke.5100 et versions ultérieures

    Ce problème peut également être évité en évitant le déploiement des ressources BackendConfig v1beta1. Si vous configurez Google Cloud Armor sur vos ressources Ingress via BackendConfig et que vous avez constaté que vous êtes concerné par les étapes ci-dessus, réactivez Google Cloud Armor en mettant à jour à votre ressource BackendConfig actuelle à la version d'API cloud.google.com/v1.

    Pour éviter ce problème, mettez à jour uniquement votre fichier BackendConfig à l'aide de l'API BackendConfig v1.

    Comme BackendConfig v1 accepte les mêmes champs que v1beta1 et n'apporte aucune modification, le champ d'API peut être mis à jour de manière transparente. Pour ce faire, remplacez le champ apiVersion de tout fichier manifeste BackendConfig actif par cloud.google.com/v1 et n'utilisez pas cloud.google.com/v1beta1.

    L'exemple de fichier manifeste suivant décrit une ressource BackendConfig qui utilise l'API v1 :

    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Si vous disposez de systèmes ou d'outils CI/CD qui mettent régulièrement à jour des ressources BackendConfig, assurez-vous d'utiliser le groupe d'API cloud.google.com/v1 dans ces systèmes.

    Faible

    GCP-2021-022

    Date de publication : 23/09/2021

    Clusters GKE activés

    Description Gravité

    Une faille a été découverte dans le service GKE Enterprise Identity Service (AIS) du module LDAP de GKE sur VMware versions 1.8 et 1.8.1, où un la clé graine utilisée pour générer des clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment.

    Détails techniques

    Un ajout récent au code AIS crée des clés symétriques à l'aide du module math/rand de golang, qui n'est pas adapté au code sensible à la sécurité. Le module est utilisé de manière à générer une clé prévisible. Lors de la vérification de l'identité, une clé STS (Secure Token Service) est générée. Elle est ensuite chiffrée par une clé symétrique simple à obtenir.

    Que dois-je faire ?

    Cette faille n'affecte que les clients qui utilisent AIS dans GKE sur VMware versions 1.8 et 1.8.1. Pour les utilisateurs de GKE sur VMware 1.8, mettez à niveau vos clusters vers les version:

    • 1.8.2
    Élevé

    GCP-2021-021

    Date de publication : 22/09/2021
    Référence: CVE-2020-8561

    GKE

    Description Gravité

    Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API.

    Détails techniques

    Avec cette faille, les individus qui contrôlent les réponses des requêtes MutatingWebhookConfiguration ou ValidatingWebhookConfiguration peuvent rediriger les requêtes kube-apiserver vers les réseaux privés du serveur d'API. Si cet utilisateur peut afficher les journaux kube-apiserver lorsque le niveau de journalisation est défini sur 10, il peut afficher les réponses et les en-têtes redirigés dans les journaux.

    Ce problème peut être atténué en modifiant certains paramètres du serveur d'API.

    Que dois-je faire ?

    Aucune action de votre part n'est nécessaire pour l'instant.

    Les versions actuellement disponibles de GKE GKE Enterprise a mis en œuvre les mesures d'atténuation suivantes : pour vous protéger contre ce type d'attaque:

    • L'option --profiling de kube-apiserver est définie sur false.
    • Le niveau de journalisation kube-apiserver est défini en dessous de 10.

    Quelle faille ce correctif permet-il de résoudre ?

    <pCVE-2020-8561

    </p
    Moyenne

    Clusters GKE activés

    Description Gravité

    Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API.

    Détails techniques

    Avec cette faille, les individus qui contrôlent les réponses des requêtes MutatingWebhookConfiguration ou ValidatingWebhookConfiguration peuvent rediriger les requêtes kube-apiserver vers les réseaux privés du serveur d'API. Si cet utilisateur peut afficher les journaux kube-apiserver lorsque le niveau de journalisation est défini sur 10, il peut afficher les réponses et les en-têtes redirigés dans les journaux.

    Ce problème peut être atténué en modifiant certains paramètres du serveur d'API.

    Que dois-je faire ?

    Aucune action de votre part n'est nécessaire pour l'instant.

    Les versions actuellement disponibles de GKE GKE Enterprise a mis en œuvre les mesures d'atténuation suivantes : pour vous protéger contre ce type d'attaque:

    • L'option --profiling de kube-apiserver est définie sur false.
    • Le niveau de journalisation kube-apiserver est défini en dessous de 10.

    Quelle faille ce correctif permet-il de résoudre ?

    <pCVE-2020-8561

    </p
    Moyenne

    Clusters GKE activés

    Description Gravité

    Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API.

    Détails techniques

    Avec cette faille, les individus qui contrôlent les réponses des requêtes MutatingWebhookConfiguration ou ValidatingWebhookConfiguration peuvent rediriger les requêtes kube-apiserver vers les réseaux privés du serveur d'API. Si cet utilisateur peut afficher les journaux kube-apiserver lorsque le niveau de journalisation est défini sur 10, il peut afficher les réponses et les en-têtes redirigés dans les journaux.

    Ce problème peut être atténué en modifiant certains paramètres du serveur d'API.

    Que dois-je faire ?

    Aucune action de votre part n'est nécessaire pour l'instant.

    Les versions actuellement disponibles de GKE GKE Enterprise a mis en œuvre les mesures d'atténuation suivantes : pour vous protéger contre ce type d'attaque:

    • L'option --profiling de kube-apiserver est définie sur false.
    • Le niveau de journalisation kube-apiserver est défini en dessous de 10.

    Quelle faille ce correctif permet-il de résoudre ?

    <pCVE-2020-8561

    </p
    Moyenne

    Clusters GKE activés

    Description Gravité

    Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API.

    Détails techniques

    Avec cette faille, les individus qui contrôlent les réponses des requêtes MutatingWebhookConfiguration ou ValidatingWebhookConfiguration peuvent rediriger les requêtes kube-apiserver vers les réseaux privés du serveur d'API. Si cet utilisateur peut afficher les journaux kube-apiserver lorsque le niveau de journalisation est défini sur 10, il peut afficher les réponses et les en-têtes redirigés dans les journaux.

    Ce problème peut être atténué en modifiant certains paramètres du serveur d'API.

    Que dois-je faire ?

    Aucune action de votre part n'est nécessaire pour l'instant.

    Les versions actuellement disponibles de GKE GKE Enterprise a mis en œuvre les mesures d'atténuation suivantes : pour vous protéger contre ce type d'attaque:

    • L'option --profiling de kube-apiserver est définie sur false.
    • Le niveau de journalisation kube-apiserver est défini en dessous de 10.

    Quelle faille ce correctif permet-il de résoudre ?

    <pCVE-2020-8561

    </p
    Moyenne

    GCP-2021-018

    Date de publication : 15/09/2021
    Dernière mise à jour : 24/09/2021
    Référence : CVE-2021-25741

    Mise à jour du 24/09/2021: bulletin de GKE sur Bare Metal mis à jour avec vers d'autres versions corrigées.

    Mise à jour du 20/09/2021: ajout de bulletins pour GKE sur Bare Metal

    Mise à jour du 16/09/2021: ajout de bulletins pour GKE sur VMware


    GKE

    Description Gravité

    Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte.

    Détails techniques :

    Dans la faille CVE-2021-25741, le pirate peut créer un lien symbolique d'un emptyDir installé au système de fichiers racine du nœud ( / ). Le kubelet suit le lien symbolique et installe la racine de l'hôte dans le conteneur.

    Que dois-je faire ?

    Nous vous recommandons de mettre à niveau vos pools de nœuds vers l'une des versions suivantes ou ultérieure, afin de bénéficier des derniers correctifs :

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    Les versions suivantes contiennent également le correctif :

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Élevée

    Clusters GKE activés

    Description Gravité

    Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte.

    Détails techniques :

    Dans la faille CVE-2021-25741, le pirate peut créer un lien symbolique d'un emptyDir installé au système de fichiers racine du nœud ( / ). Le kubelet suit le lien symbolique et installe la racine de l'hôte dans le conteneur.

    Que dois-je faire ?

    Mis à jour du 24/09/2021 : les versions 1.8.3 et 1.7.4 corrigées sont désormais disponibles.

    Mise à jour du 17/09/2021 : correction de la liste des versions disponibles contenant le correctif.


    Les versions suivantes de GKE sur VMware ont été mises à jour avec pour corriger cette faille. Mettez à niveau vos clusters d'administrateur et vos clusters d'utilisateur vers l'une des versions suivantes :

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Élevée

    Clusters GKE activés

    Description Gravité

    Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte.

    Détails techniques :

    Dans la faille CVE-2021-25741, le pirate peut créer un lien symbolique d'un emptyDir installé au système de fichiers racine du nœud ( / ). Le kubelet suit le lien symbolique et installe la racine de l'hôte dans le conteneur.

    Que dois-je faire ?

    Mise à jour du 16-9-2021 : ajout d'une liste des versions gke-versions compatibles pour les objets AWSCluster et AWSNodePool.


    Les versions suivantes de GKE sur AWS ont été mises à jour avec pour corriger cette faille. Voici nos recommandations :

    • Mettez à jour vos objets AWSManagementService, AWSCluster et AWSNodePool vers la version suivante :
      • 1.8.2
    • Mettez à jour la version gke-version de vos objets AWSCluster et AWSNodePool vers l'une des versions Kubernetes compatibles :
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Élevée

    Clusters GKE activés

    Description Gravité

    Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte.

    Détails techniques :

    Dans la faille CVE-2021-25741, le pirate peut créer un lien symbolique d'un emptyDir installé au système de fichiers racine du nœud ( / ). Le kubelet suit le lien symbolique et installe la racine de l'hôte dans le conteneur.

    Que dois-je faire ?

    Les versions suivantes de GKE sur Bare Metal ont été mises à jour avec le code nécessaire pour corriger cette faille. Mettez à niveau vos clusters d'administrateur et vos clusters d'utilisateur vers l'une des versions suivantes :

    • 1.8.3
    • 1.7.4
    Élevé

    GCP-2021-017

    Date de publication : 01/09/2021
    Dernière mise à jour : 23/09/2021
    Référence: CVE-2021-33909
    CVE-2021-33910

    GKE

    Description Gravité
    Mise à jour du 23/09/2021 :

    Les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille lorsque les attaques proviennent du conteneur.


    Mise à jour du 15/09/2021 :

    Les versions de GKE suivantes corrigent les failles :

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu).

    Détails techniques :

    Dans la faille CVE-2021-33909, la couche du système de fichiers du noyau Linux ne limite pas correctement les allocations des tampons seq, ce qui conduit à un débordement d'entiers, à une écriture hors limite et à une escalade vers la racine.
    Avec CVE-2021-33910, systemd dispose d'une allocation de mémoire avec une valeur de taille excessive (impliquant strdupa et alloca pour un nom de chemin d'accès contrôlé par un pirate informatique local) entraînant un plantage du système d'exploitation.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Élevée

    Clusters GKE activés

    Description Gravité

    Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu).

    Détails techniques :

    Dans la faille CVE-2021-33909, la couche du système de fichiers du noyau Linux ne limite pas correctement les allocations des tampons seq, ce qui conduit à un débordement d'entiers, à une écriture hors limite et à une escalade vers la racine.
    Avec CVE-2021-33910, systemd dispose d'une allocation de mémoire avec une valeur de taille excessive (impliquant strdupa et alloca pour un nom de chemin d'accès contrôlé par un pirate informatique local) entraînant un plantage du système d'exploitation.

    Que dois-je faire ?

    Les versions des images de nœuds Linux pour GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Élevée

    Clusters GKE activés

    Description Gravité

    Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu).

    Détails techniques :

    Dans la faille CVE-2021-33909, la couche du système de fichiers du noyau Linux ne limite pas correctement les allocations des tampons seq, ce qui conduit à un débordement d'entiers, à une écriture hors limite et à une escalade vers la racine.
    Avec CVE-2021-33910, systemd dispose d'une allocation de mémoire avec une valeur de taille excessive (impliquant strdupa et alloca pour un nom de chemin d'accès contrôlé par un pirate informatique local) entraînant un plantage du système d'exploitation.

    Que dois-je faire ?

    Les versions des images de nœuds Linux et COS pour GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (Linux uniquement)

    Consultez Historique des versions – Kubernetes et versions de noyau de nœud.

    Élevé

    GCP-2021-015

    Date de publication : 13/07/2021
    Mise à jour:15-07-2021
    Référence: CVE-2021-22555

    GKE

    Description Gravité

    Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges CAP_NET_ADMIN peut permettre à l'interruption d'un conteneur de remonter jusqu'à l'accès racine de l'hôte. Cette faille affecte tous les clusters GKE GKE sur VMware exécutant Linux version 2.6.19 ou ultérieure

    Détails techniques

    Dans cette attaque, une écriture hors limite dans setsockopt dans le sous-système netfilter de Linux peut provoquer une corruption du tas de mémoire (et donc le déni de service) et une élévation des privilèges.

    Que dois-je faire ?

    Les versions suivantes de Linux sur GKE ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2021-22555

    Élevée

    Clusters GKE activés

    Description Gravité

    Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges CAP_NET_ADMIN peut permettre à l'interruption d'un conteneur de remonter jusqu'à l'accès racine de l'hôte. Cette faille affecte tous les clusters GKE GKE sur VMware exécutant Linux version 2.6.19 ou ultérieure

    Détails techniques

    Dans cette attaque, une écriture hors limite dans setsockopt dans le sous-système netfilter de Linux peut provoquer une corruption du tas de mémoire (et donc le déni de service) et une élévation des privilèges.

    Que dois-je faire ?

    Les versions suivantes de Linux sur GKE sur VMware ont été mises à jour avec le code nécessaire cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :

    • 1.8
    • 1.7.3
    • 1.6.4

    Quelle faille ce correctif permet-il de résoudre ?

    CVE-2021-22555

    Élevé

    GCP-2021-014

    Date de publication : 2021-07-05
    Référence : CVE-2021-34527

    GKE

    Description Gravité

    Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability.

    Que dois-je faire ?

    Aucune action n'est requise. Les nœuds Windows GKE ne contiennent pas le service de spouleur affecté dans l'image de base. Par conséquent, les déploiements Windows GKE ne sont pas vulnérables à cette attaque.

    Quelles failles ce bulletin permet-il de résoudre ?

    Élevé

    GCP-2021-012

    Date de publication : 01/07/2021
    Dernière mise à jour : 09/07/2021
    Référence: CVE-2021-34824

    GKE

    Description Gravité

    Que dois-je faire ?

    Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-34824) affectant Istio. Istio souffre d'une faille utilisable à distance. Les identifiants spécifiés dans les champs Gateway et DestinationRule credentialName sont accessibles depuis différents espaces de noms.

    Détails techniques :

    La passerelle sécurisée Istio ou les charges de travail utilisant DestinationRule peuvent charger les clés privées et les certificats TLS à partir des secrets Kubernetes via la configuration de credentialName. À partir d'Istio 1.8 et versions ultérieures, les secrets sont lus à partir de istiod, et transmis aux passerelles et aux charges de travail via XDS.

    Normalement, un déploiement de passerelle ou de charge de travail ne peut accéder qu'aux certificats TLS et aux clés privées stockées dans le secret au sein de son espace de noms. Cependant, un bug dans istiod permet à un client autorisé à accéder à l'API XDS Istio de récupérer tous les certificats TLS et clés privées mises en cache dans istiod.

    Que dois-je faire ?

    Les clusters GKE n'exécutent pas Istio par défaut et, lorsqu'ils sont activés, utilisent la version 1.6 d'Istio, qui n'est pas vulnérable à cette attaque. Si vous avez installé ou mis à niveau Istio sur le cluster vers Istio 1.8 ou une version ultérieure, mettez à niveau votre système vers la dernière version compatible.

    Élevée

    Clusters GKE activés

    Description Gravité

    Que dois-je faire ?

    Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-34824) affectant Istio. Istio souffre d'une faille utilisable à distance. Les identifiants spécifiés dans les champs Gateway et DestinationRule credentialName sont accessibles depuis différents espaces de noms.

    Détails techniques :

    La passerelle sécurisée Istio ou les charges de travail utilisant DestinationRule peuvent charger les clés privées et les certificats TLS à partir des secrets Kubernetes via la configuration de credentialName. À partir d'Istio 1.8 et versions ultérieures, les secrets sont lus à partir de istiod, et transmis aux passerelles et aux charges de travail via XDS.

    Normalement, un déploiement de passerelle ou de charge de travail ne peut accéder qu'aux certificats TLS et aux clés privées stockées dans le secret au sein de son espace de noms. Cependant, un bug dans istiod permet à un client autorisé à accéder à l'API XDS Istio de récupérer tous les certificats TLS et clés privées mises en cache dans istiod.

    Que dois-je faire ?

    Les clusters Anthos on VMware v1.6 et v1.7 ne sont pas vulnérables à cette attaque. Les clusters Anthos on VMware v1.8 sont vulnérables.

    Si vous utilisez la version 1.8 d'Anthos Clusters on VMware, effectuez une mise à niveau vers la version corrigée suivante ou une version ultérieure :

    • 1.8.0-gke.25
    Élevée

    Clusters GKE activés

    Description Gravité

    Que dois-je faire ?

    Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-34824) affectant Istio. Istio souffre d'une faille utilisable à distance. Les identifiants spécifiés dans les champs Gateway et DestinationRule credentialName sont accessibles depuis différents espaces de noms.

    Détails techniques :

    La passerelle sécurisée Istio ou les charges de travail utilisant DestinationRule peuvent charger les clés privées et les certificats TLS à partir des secrets Kubernetes via la configuration de credentialName. À partir d'Istio 1.8 et versions ultérieures, les secrets sont lus à partir de istiod, et transmis aux passerelles et aux charges de travail via XDS.

    Normalement, un déploiement de passerelle ou de charge de travail ne peut accéder qu'aux certificats TLS et aux clés privées stockées dans le secret au sein de son espace de noms. Cependant, un bug dans istiod permet à un client autorisé à accéder à l'API XDS Istio de récupérer tous les certificats TLS et clés privées mises en cache dans istiod. Les clusters créés ou mis à niveau avec des clusters Anthos sur Bare Metal v1.8.0 sont affectés par cette faille CVE.

    Que dois-je faire ?

    Anthos v1.6 et 1.7 ne sont pas vulnérables à cette attaque. Si vous disposez de clusters v1.8.0, téléchargez et installez la version 1.8.1 de bmctl et mettez à niveau vos clusters vers la version corrigée suivante :

    • 1.8.1
    Élevé

    GCP-2021-011

    Date de publication : 04/06/2021
    Dernière mise à jour : 19/10/2021
    Référence : CVE-2021-30465

    Mise à jour du 19/10/2021: ajout de bulletins pour GKE sur VMware, GKE sur AWS et GKE sur Bare Metal.

    GKE

    Description Gravité

    La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans runc est susceptible d'autoriser l'accès complet à un système de fichiers de nœud.

    Pour GKE, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN.

    Détails techniques

    Le package runc est vulnérable aux attaques par échange de liens symboliques lors de l'installation d'un volume.

    Pour cette attaque spécifique, un utilisateur peut potentiellement exploiter une condition de concurrence en démarrant simultanément plusieurs pods sur un même nœud, qui partagent le même montage de volume avec un lien symbolique.

    Si l'attaque aboutit, l'un des pods installe le système de fichiers du nœud avec des autorisations racine.

    Que dois-je faire ?

    Un nouveau correctif est disponible dans runc (1.0.0-rc95). Il permet de corriger cette faille.

    Mettez à niveau votre cluster GKE vers l'une des versions mises à jour suivantes :

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Moyenne

    Clusters GKE activés

    Description Gravité

    La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans runc est susceptible d'autoriser l'accès complet à un système de fichiers de nœud.

    Pour GKE sur VMware, car l'exploitation de cette faille nécessite de pouvoir créer des pods, nous avons évalué la gravité de cette vulnérabilité à MEDIUM.

    Détails techniques

    Le package runc est vulnérable aux attaques par échange de liens symboliques lors de l'installation d'un volume.

    Pour cette attaque spécifique, un utilisateur peut potentiellement exploiter une condition de concurrence en démarrant simultanément plusieurs pods sur un même nœud, qui partagent le même montage de volume avec un lien symbolique.

    Si l'attaque aboutit, l'un des pods installe le système de fichiers du nœud avec des autorisations racine.

    Que dois-je faire ?

    Un nouveau correctif est disponible dans runc. Il permet de corriger cette faille. Mettez à niveau GKE sur VMware vers l'une des versions suivantes:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Moyenne

    Clusters GKE activés

    Description Gravité

    La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans runc est susceptible d'autoriser l'accès complet à un système de fichiers de nœud.

    Comme il s'agit d'une faille au niveau de l'OS, GKE sur AWS vulnérable.

    Détails techniques

    Le package runc est vulnérable aux attaques par échange de liens symboliques lors de l'installation d'un volume.

    Pour cette attaque spécifique, un utilisateur peut potentiellement exploiter une condition de concurrence en démarrant simultanément plusieurs pods sur un même nœud, qui partagent le même montage de volume avec un lien symbolique.

    Si l'attaque aboutit, l'un des pods installe le système de fichiers du nœud avec des autorisations racine.

    Que dois-je faire ?

    Assurez-vous que la version de l'OS sur laquelle vous exécutez GKE sur AWS est mis à niveau vers la dernière version de l'OS avec un package runc mis à jour.

    Aucun

    Clusters GKE activés

    Description Gravité

    La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans runc est susceptible d'autoriser l'accès complet à un système de fichiers de nœud.

    Comme il s'agit d'une faille au niveau de l'OS, GKE sur Bare Metal ne vulnérable.

    Détails techniques

    Le package runc est vulnérable aux attaques par échange de liens symboliques lors de l'installation d'un volume.

    Pour cette attaque spécifique, un utilisateur peut potentiellement exploiter une condition de concurrence en démarrant simultanément plusieurs pods sur un même nœud, qui partagent le même montage de volume avec un lien symbolique.

    Si l'attaque aboutit, l'un des pods installe le système de fichiers du nœud avec des autorisations racine.

    Que dois-je faire ?

    Assurez-vous que la version de l'OS sur laquelle vous exécutez Google Distributed Cloud Virtual for Bare Metal est mis à niveau vers la dernière version de l'OS avec un package runc mis à jour.

    Aucun

    GCP-2021-006

    Date de publication : 11-05-2021
    Référence : CVE-2201-31920

    GKE

    Description Gravité

    Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-31920) affectant Istio.

    Istio souffre d'une faille utilisable à distance. Une requête HTTP comportant plusieurs barres obliques ou des barres obliques échappées peut contourner la règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées.

    Que dois-je faire ?

    Nous vous recommandons vivement de mettre à jour et de reconfigurer vos clusters GKE. Notez que vous devez suivre les deux étapes ci-dessous pour résoudre le problème :

    1. Mettre à jour vos clusters : procédez comme suit pour mettre à jour vos clusters vers les versions les plus récentes dès que possible :
      • Si vous utilisez Istio sur GKE 1.6 :

        La dernière version du correctif est la 1.6.14-gke.3. Veuillez suivre les instructions de mise à niveau pour mettre à niveau vos clusters vers la dernière version.

      • Si vous utilisez Istio sur GKE 1.4 :
      • Les versions d'Istio sur GKE 1.4 ne sont plus compatibles avec Istio et nous ne rétroportons pas les correctifs CVE sur ces versions. Veuillez suivre les instructions de mise à niveau d'Istio pour mettre à niveau vos clusters vers la version 1.6, puis suivre les instructions ci-dessus pour obtenir la dernière version d'Istio sur GKE 1.6.

    2. Configurer Istio :

      Une fois le correctif appliqué aux clusters, vous devez reconfigurer Istio sur GKE. Reportez-vous au guide des bonnes pratiques de sécurité pour configurer correctement votre système.

    Élevé

    GCP-2021-004

    Date de publication : 06-05-2021
    Référence : CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    Description Gravité

    Les projets Envoy et Istio ont récemment divulgué plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui permettent à un pirate informatique de faire planter Envoy.

    Les clusters GKE n'exécutent pas Istio par défaut et ne sont donc pas vulnérables. Si Istio a été installé dans un cluster et est configuré pour exposer des services sur Internet, ces services peuvent être vulnérables aux attaques par déni de service.

    Que dois-je faire ?

    Pour corriger ces failles, mettez à niveau le plan de contrôle GKE vers l'une des versions corrigées suivantes :

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Moyenne

    Clusters GKE activés

    Description Gravité

    Les projets Envoy et Istio ont récemment divulgué plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui permettent à un pirate informatique de faire planter Envoy.

    GKE sur VMware utilise Envoy par défaut pour Ingress. Les services Ingress peuvent donc être vulnérable aux dénis de service.

    Que dois-je faire ?

    Pour corriger ces failles, mettez à niveau GKE sur VMware vers l'une des versions suivantes versions corrigées en production:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Moyenne

    Clusters GKE activés

    Dernière mise à jour : 06-05-2021

    Description Gravité

    Les projets Envoy et Istio ont récemment divulgué plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui permettent à un pirate informatique de faire planter Envoy.

    Google Distributed Cloud Virtual pour Bare Metal utilise Envoy par défaut pour Ingress. Les services Ingress sont donc des services d'entrée. peuvent être vulnérables face aux dénis de service.

    Que dois-je faire ?

    Pour corriger ces failles, mettez à niveau votre cluster Google Distributed Cloud Virtual for Bare Metal vers un cluster des versions corrigées suivantes:

    • 1.6.3
    • 1.7.1
    Moyen

    GCP-2021-003

    Date de publication : 19-04-2021
    Référence : CVE-2021-25735

    GKE

    Description Gravité

    Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.

    Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Node (par exemple, des champs dans Node.NodeSpec), le pirate a la possibilité de mettre à jour les propriétés d'un nœud, ce qui peut entraîner la compromission d'un cluster. Aucune des stratégies appliquées par GKE et les contrôleurs d'admission intégrés de Kubernetes n'est affectée, mais nous recommandons aux clients de vérifier les webhooks d'admission supplémentaires qu'ils ont installés, le cas échéant.

    Que dois-je faire ?

    Pour corriger cette faille, mettez à niveau votre cluster GKE vers l'une des versions corrigées suivantes :

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Moyenne

    Clusters GKE activés

    Description Gravité

    Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.

    Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Node (par exemple, des champs dans Node.NodeSpec), le pirate a la possibilité de mettre à jour les propriétés d'un nœud, ce qui peut entraîner la compromission d'un cluster. Aucune des stratégies appliquées par GKE et les contrôleurs d'admission intégrés de Kubernetes n'est affectée, mais nous recommandons aux clients de vérifier les webhooks d'admission supplémentaires qu'ils ont installés, le cas échéant.

    Que dois-je faire ?

    Une prochaine version du correctif permettra de réduire les risques liés à cette faille.

    Moyenne

    Clusters GKE activés

    Description Gravité

    Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.

    Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Node (par exemple, des champs dans Node.NodeSpec), le pirate a la possibilité de mettre à jour les propriétés d'un nœud, ce qui peut entraîner la compromission d'un cluster. Aucune des stratégies appliquées par GKE et les contrôleurs d'admission intégrés de Kubernetes n'est affectée, mais nous recommandons aux clients de vérifier les webhooks d'admission supplémentaires qu'ils ont installés, le cas échéant.

    Que dois-je faire ?

    Une prochaine version du correctif permettra de réduire les risques liés à cette faille.

    Moyenne

    Clusters GKE activés

    Description Gravité

    Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.

    Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Node (par exemple, des champs dans Node.NodeSpec), le pirate a la possibilité de mettre à jour les propriétés d'un nœud, ce qui peut entraîner la compromission d'un cluster. Aucune des stratégies appliquées par GKE et les contrôleurs d'admission intégrés de Kubernetes n'est affectée, mais nous recommandons aux clients de vérifier les webhooks d'admission supplémentaires qu'ils ont installés, le cas échéant.

    Que dois-je faire ?

    Une prochaine version du correctif permettra de réduire les risques liés à cette faille.

    Moyen

    GCP-2021-001

    Date de publication : 28-01-2021
    Référence : CVE-2121-3156

    GKE

    Description Gravité

    Une faille a été récemment découverte dans l'utilitaire Linux sudo. Cette faille, décrite dans CVE-2201-3156, peut permettre à un pirate informatique disposant d'un accès non privilégié à une interface système locale sur un système avec sudo installé de remonter jusqu'à l'accès racine du système.

    Les clusters Google Kubernetes Engine (GKE) ne sont pas affectés par cette faille :

    • Les utilisateurs qui sont autorisés à se connecter en SSH à des nœuds GKE sont déjà considérés comme étant à privilèges élevés et peuvent déjà utiliser sudo pour obtenir les privilèges racine. La faille ne génère aucune élévation de privilèges supplémentaire dans ce scénario.
    • La plupart des conteneurs système GKE sont construits à partir d'images de base distroless sur lesquelles aucune interface système ou sudo n'est installée. D'autres images sont créées à partir d'une image de base debian qui ne contient pas sudo. Même si sudo est présent, l'accès à sudo à l'intérieur du conteneur ne vous permet pas d'accéder à l'hôte en raison de la limite du conteneur.

    Que dois-je faire ?

    Étant donné que les clusters GKE ne sont pas affectés par cette faille, aucune autre action n'est requise.

    GKE disposera d'un correctif pour cette faille qui sera appliqué avec une version ultérieure dans le calendrier standard de mise à jour.

    Aucun

    Clusters GKE activés

    Description Gravité

    Une faille a été récemment découverte dans l'utilitaire Linux sudo. Cette faille, décrite dans CVE-2201-3156, peut permettre à un pirate informatique disposant d'un accès non privilégié à une interface système locale sur un système avec sudo installé de remonter jusqu'à l'accès racine du système.

    GKE sur VMware ne sont pas affectés par cette faille:

    • Les utilisateurs autorisés à se connecter en SSH à des nœuds GKE sur VMware sont déjà pris en compte très privilégiés et peuvent utiliser sudo pour obtenir les privilèges racine par la conception. La faille ne génère aucune élévation de privilèges supplémentaire dans ce scénario.
    • La plupart des conteneurs système GKE sur VMware sont créés images de base distroless pour lesquels aucun shell ni sudo n'est installé. D'autres images sont créées à partir d'une image de base debian qui ne contient pas sudo. Même si sudo est présent, l'accès à sudo à l'intérieur du conteneur ne vous permet pas d'accéder à l'hôte en raison de la limite du conteneur.

    Que dois-je faire ?

    Comme les clusters GKE sur VMware ne sont pas affectés par cette faille, action requise.

    Le correctif de cette faille sera appliqué à GKE sur VMware dans une prochaine version à un rythme régulier.

    Aucun

    Clusters GKE activés

    Description Gravité

    Une faille a été récemment découverte dans l'utilitaire Linux sudo. Cette faille, décrite dans CVE-2201-3156, peut permettre à un pirate informatique disposant d'un accès non privilégié à une interface système locale sur un système avec sudo installé de remonter jusqu'à l'accès racine du système.

    GKE sur AWS ne sont pas affectés par cette faille:

    • Les utilisateurs autorisés à se connecter en SSH à des nœuds GKE sur AWS sont déjà pris en compte très privilégiés et peuvent utiliser sudo pour obtenir les privilèges racine par la conception. La faille ne génère aucune élévation de privilèges supplémentaire dans ce scénario.
    • La plupart des conteneurs système GKE sur AWS sont créés images de base distroless pour lesquels aucun shell ni sudo n'est installé. D'autres images sont créées à partir d'une image de base debian qui ne contient pas sudo. Même si sudo est présent, l'accès à sudo à l'intérieur du conteneur ne vous permet pas d'accéder à l'hôte en raison de la limite du conteneur.

    Que dois-je faire ?

    Comme les clusters GKE sur AWS ne sont pas affectés par cette faille, action requise.

    Le correctif de cette faille sera appliqué à GKE sur AWS dans une prochaine version à un rythme régulier.

    Aucun

    Clusters GKE activés

    Description Gravité

    Une faille a été récemment découverte dans l'utilitaire Linux sudo. Cette faille, décrite dans CVE-2201-3156, peut permettre à un pirate informatique disposant d'un accès non privilégié à une interface système locale sur un système avec sudo installé de remonter jusqu'à l'accès racine du système.

    Les clusters Google Distributed Cloud Virtual for Bare Metal ne sont pas affectés par cette faille:

    • Les utilisateurs autorisés à se connecter en SSH aux nœuds Google Distributed Cloud Virtual for Bare Metal sont déjà pris en compte très privilégiés et peuvent utiliser sudo pour obtenir les privilèges racine par la conception. La faille ne génère aucune élévation de privilèges supplémentaire dans ce scénario.
    • La plupart des conteneurs système Google Distributed Cloud Virtual pour Bare Metal sont basés sur images de base distroless pour lesquels aucun shell ni sudo n'est installé. D'autres images sont créées à partir d'une image de base debian qui ne contient pas sudo. Même si sudo est présent, l'accès à sudo à l'intérieur du conteneur ne vous permet pas d'accéder à l'hôte en raison de la limite du conteneur.

    Que dois-je faire ?

    Comme les clusters Google Distributed Cloud Virtual for Bare Metal ne sont pas affectés par cette faille, action requise.

    Le correctif de cette faille sera appliqué dans une prochaine version de Google Distributed Cloud Virtual for Bare Metal à un rythme régulier.

    Aucun

    GCP-2020-015

    Date de publication : 07/12/2020
    Dernière mise à jour : 22/12/2021
    Référence : CVE-2020-8554

    Mise à jour du 22/12/2021 : utilise gcloud beta au lieu de la commande gcloud.

    Mise à jour du 15/12/2021 : ajout d'un correctif pour GKE.

    GKE

    Description Gravité
    Dernière mise à jour : 22/12/2021 : la commande GKE de la section suivante doit utiliser gcloud beta au lieu de la commande gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Mise à jour: 15/12/2021 Pour GKE, l'atténuation suivante est désormais disponibles:
    1. À partir de la version 1.21 de GKE, les services avec des adresses IP externes sont bloqués par un contrôleur d'admission DenyServiceExternalIPs activé par défaut pour les nouveaux clusters.
    2. Les clients qui passent à la version 1.21 de GKE peuvent bloquer des services avec à l'aide de la commande suivante:
      gcloud container clusters update –no-enable-service-externalips
      

    Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster.


    Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster.

    Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes.

    Tous les clusters Google Kubernetes Engine (GKE) sont affectés par cette faille.

    Que dois-je faire ?

    Kubernetes devra peut-être apporter des modifications d'incompatibilité ascendante dans une future version pour remédier à la faille.

    Si de nombreux utilisateurs partagent l'accès à votre cluster avec les autorisations requises pour créer des services, par exemple dans un cluster mutualisé, envisagez d'appliquer une mesure d'atténuation. À l'heure actuelle, la meilleure approche pour l'atténuation consiste à limiter l'utilisation d'adresses IP externes dans un cluster. Les adresses IP externes ne sont pas une fonctionnalité couramment utilisée.

    Limitez l'utilisation d'adresses IP externes dans un cluster avec l'une des méthodes suivantes :

    1. Utilisez cet outil avec GKE Enterprise Policy Controller ou Gatekeeper modèle de contrainte et l'appliquer. Exemple :
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
      .
    2. Vous pouvez également installer un contrôleur d'admission pour empêcher l'utilisation d'adresses IP externes. Le projet Kubernetes a fourni un exemple de contrôleur d'admission pour cette tâche.

    Comme indiqué dans l'annonce concernant Kubernetes, aucune atténuation n'est fournie pour les services de type LoadBalancer, car par défaut, seuls les utilisateurs disposant des droits les plus privilégiés, ainsi que les composants du système, ont l'autorisation container.services.updateStatus nécessaire pour exploiter cette faille.

    Moyenne

    Clusters GKE activés

    Description Gravité
    Dernière mise à jour : 22/12/2021 : la commande GKE de la section suivante doit utiliser gcloud beta au lieu de la commande gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Mise à jour: 15/12/2021 Pour GKE, l'atténuation suivante est désormais disponibles:
    1. À partir de la version 1.21 de GKE, les services avec des adresses IP externes sont bloqués par un contrôleur d'admission DenyServiceExternalIPs activé par défaut pour les nouveaux clusters.
    2. Les clients qui passent à la version 1.21 de GKE peuvent bloquer des services avec à l'aide de la commande suivante:
      gcloud container clusters update –no-enable-service-externalips
      

    Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster.


    Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster.

    Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes.

    Tous les clusters GKE sur VMware sont affectés par cette faille.

    Que dois-je faire ?

    Kubernetes devra peut-être apporter des modifications d'incompatibilité ascendante dans une future version pour remédier à la faille.

    Si de nombreux utilisateurs partagent l'accès à votre cluster avec les autorisations requises pour créer des services, par exemple dans un cluster mutualisé, envisagez d'appliquer une mesure d'atténuation. À l'heure actuelle, la meilleure approche pour l'atténuation consiste à limiter l'utilisation d'adresses IP externes dans un cluster. Les adresses IP externes ne sont pas une fonctionnalité couramment utilisée.

    Limitez l'utilisation d'adresses IP externes dans un cluster avec l'une des méthodes suivantes :

    1. Utilisez cet outil avec GKE Enterprise Policy Controller ou Gatekeeper modèle de contrainte et l'appliquer. Exemple :
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
      .
    2. Vous pouvez également installer un contrôleur d'admission pour empêcher l'utilisation d'adresses IP externes. Le projet Kubernetes a fourni un exemple de contrôleur d'admission pour cette tâche.

    Comme indiqué dans l'annonce concernant Kubernetes, aucune atténuation n'est fournie pour les services de type LoadBalancer, car par défaut, seuls les utilisateurs disposant des droits les plus privilégiés, ainsi que les composants du système, ont l'autorisation container.services.updateStatus nécessaire pour exploiter cette faille.

    Moyenne

    Clusters GKE activés

    Description Gravité
    Dernière mise à jour : 22/12/2021 : la commande GKE de la section suivante doit utiliser gcloud beta au lieu de la commande gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Mise à jour: 15/12/2021 Pour GKE, l'atténuation suivante est désormais disponibles:
    1. À partir de la version 1.21 de GKE, les services avec des adresses IP externes sont bloqués par un contrôleur d'admission DenyServiceExternalIPs activé par défaut pour les nouveaux clusters.
    2. Les clients qui passent à la version 1.21 de GKE peuvent bloquer des services avec à l'aide de la commande suivante:
      gcloud container clusters update –no-enable-service-externalips
      

    Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster.


    Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster.

    Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes.

    Tous les clusters GKE sur AWS sont affectés par cette faille.

    Que dois-je faire ?

    Kubernetes devra peut-être apporter des modifications d'incompatibilité ascendante dans une future version pour remédier à la faille.

    Si de nombreux utilisateurs partagent l'accès à votre cluster avec les autorisations requises pour créer des services, par exemple dans un cluster mutualisé, envisagez d'appliquer une mesure d'atténuation. À l'heure actuelle, la meilleure approche pour l'atténuation consiste à limiter l'utilisation d'adresses IP externes dans un cluster. Les adresses IP externes ne sont pas une fonctionnalité couramment utilisée.

    Limitez l'utilisation d'adresses IP externes dans un cluster avec l'une des méthodes suivantes :

    1. Utilisez cet outil avec GKE Enterprise Policy Controller ou Gatekeeper modèle de contrainte et l'appliquer. Exemple :
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
      .
    2. Vous pouvez également installer un contrôleur d'admission pour empêcher l'utilisation d'adresses IP externes. Le projet Kubernetes a fourni un exemple de contrôleur d'admission pour cette tâche.

    Comme indiqué dans l'annonce concernant Kubernetes, aucune atténuation n'est fournie pour les services de type LoadBalancer, car par défaut, seuls les utilisateurs disposant des droits les plus privilégiés, ainsi que les composants du système, ont l'autorisation container.services.updateStatus nécessaire pour exploiter cette faille.

    Moyen

    GCP-2020-014

    Date de publication : 20-10-2020
    Référence : CVE-2020-8563, CVE -2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Dernière mise à jour : 20-10-2020

    Description Gravité

    Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :

    • CVE-2020-8563 : fuites des secrets dans les journaux du fournisseur vSphere kube-controller-manager
    • CVE-2020-8564 : fuite des secrets de configuration Docker lorsque le fichier est mal formé, et que le niveau de journalisation est supérieur ou égal à 4.
    • CVE-2020-8565 : correction partielle de la faille CVE-2019-11250 dans Kubernetes occasionnant la divulgation des jetons dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 9. Faille détectée par la sécurité de GKE.
    • CVE-2020-8566 : fuite des secrets des administrateurs Ceph RBD dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 4.

    GKE n'est pas affecté.

    Que dois-je faire ?

    Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE.

    Aucun

    Clusters GKE activés

    Mise à jour : 10-10-2020

    Description Gravité

    Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :

    • CVE-2020-8563 : fuites des secrets dans les journaux du fournisseur vSphere kube-controller-manager
    • CVE-2020-8564 : fuite des secrets de configuration Docker lorsque le fichier est mal formé, et que le niveau de journalisation est supérieur ou égal à 4.
    • CVE-2020-8565 : correction partielle de la faille CVE-2019-11250 dans Kubernetes occasionnant la divulgation des jetons dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 9. Faille détectée par la sécurité de GKE.
    • CVE-2020-8566 : fuite des secrets des administrateurs Ceph RBD dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 4.

    GKE sur VMware n'est pas affecté.

    Que dois-je faire ?

    Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE.

    Aucun

    Clusters GKE activés

    Dernière mise à jour : 20-10-2020

    Description Gravité

    Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :

    • CVE-2020-8563 : fuites des secrets dans les journaux du fournisseur vSphere kube-controller-manager
    • CVE-2020-8564 : fuite des secrets de configuration Docker lorsque le fichier est mal formé, et que le niveau de journalisation est supérieur ou égal à 4.
    • CVE-2020-8565 : correction partielle de la faille CVE-2019-11250 dans Kubernetes occasionnant la divulgation des jetons dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 9. Faille détectée par la sécurité de GKE.
    • CVE-2020-8566 : fuite des secrets des administrateurs Ceph RBD dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 4.

    GKE sur AWS n'est pas affecté.

    Que dois-je faire ?

    Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE.

    Aucun

    GCP-2020-012

    Publié : 14-09-2020
    Référence : CVE-2020-14386

    GKE

    Description Gravité

    Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte.

    Tous les nœuds GKE sont affectés. Les pods exécutés dans GKE Sandbox ne peuvent pas exploiter cette faille.

    Que dois-je faire ?

    Pour corriger cette faille, mettez à jour le plan de contrôle, puis les nœuds vers l'une des versions corrigées répertoriées ci-dessous :

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    L'exploitation de cette faille nécessite CAP_NET_RAW, mais très peu de conteneurs utilisent CAP_NET_RAW. Il faut donc la bloquer par défaut, ainsi que d'autres fonctionnalités puissantes, via PodSecurityPolicy ou Policy Controller :

    Supprimez la fonctionnalité CAP_NET_RAW des conteneurs à l'aide de l'une des méthodes suivantes :

    • Appliquez le blocage de ces fonctionnalités avec PodSecurityPolicy, Par exemple:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Vous pouvez aussi utiliser Policy Controller ou Gatekeeper avec cette contrainte modèle et en l'appliquant, par exemple:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou en mettant à jour les spécifications de votre pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille suivante :

    La faille CVE-2020-14386 permet aux conteneurs avec CAP_NET_RAW d'écrire de 1 à 10 octets de mémoire du noyau, ce qui peut permettre à un pirate de sortir du conteneur et d'obtenir des privilèges racine sur le nœud hôte. La gravité de cette faille est évaluée comme élevée.

    Élevée

    Clusters GKE activés

    Mise à jour : 17-09-2020

    Description Gravité

    Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte.

    Tous les nœuds GKE sur VMware sont affectés.

    Que dois-je faire ?

    Pour résoudre cette faille, mettez à niveau votre cluster vers une version incluant le correctif. Les prochaines versions de {gke_on_prem_name}} incluront le correctif pour cette faille. Le présent bulletin sera mis à jour dès que le correctif sera disponible :

    • GKE sur VMware 1.4.3 est désormais disponible.
    • GKE sur VMware 1.3.4 est désormais disponible.

    L'exploitation de cette faille nécessite CAP_NET_RAW, mais très peu de conteneurs utilisent CAP_NET_RAW. Il faut donc la bloquer par défaut, ainsi que d'autres fonctionnalités puissantes, via PodSecurityPolicy ou Policy Controller :

    Supprimez la fonctionnalité CAP_NET_RAW des conteneurs à l'aide de l'une des méthodes suivantes :

    • Appliquez le blocage de ces fonctionnalités avec PodSecurityPolicy, Par exemple:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Vous pouvez aussi utiliser Policy Controller ou Gatekeeper avec cette contrainte modèle et en l'appliquant, par exemple:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou en mettant à jour les spécifications de votre pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille suivante :

    La faille CVE-2020-14386 permet aux conteneurs avec CAP_NET_RAW d'écrire de 1 à 10 octets de mémoire du noyau, ce qui peut permettre à un pirate de sortir du conteneur et d'obtenir des privilèges racine sur le nœud hôte. La gravité de cette faille est évaluée comme élevée.

    Élevée

    Clusters GKE activés

    Dernière mise à jour : 13-10-2020

    Description Gravité

    Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte.

    Tous les nœuds GKE sur AWS sont affectés.

    Que dois-je faire ?

    Pour corriger cette faille, mettez à niveau votre service de gestion et vos clusters d'utilisateur vers une version corrigée. Les versions suivantes de GKE sur AWS et les versions ultérieures incluront le correctif pour cette faille. Ce bulletin sera mis à jour dès qu'il sera disponible:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Supprimez la fonctionnalité CAP_NET_RAW des conteneurs à l'aide de l'une des méthodes suivantes :

    • Appliquez le blocage de ces fonctionnalités avec PodSecurityPolicy, Par exemple:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Vous pouvez aussi utiliser Policy Controller ou Gatekeeper avec cette contrainte modèle et en l'appliquant, par exemple:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou en mettant à jour les spécifications de votre pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille suivante :

    La faille CVE-2020-14386 permet aux conteneurs avec CAP_NET_RAW d'écrire de 1 à 10 octets de mémoire du noyau, ce qui peut permettre à un pirate de sortir du conteneur et d'obtenir des privilèges racine sur le nœud hôte. La gravité de cette faille est évaluée comme élevée.

    Élevé

    GCP-2020-011

    Date de publication : 24-07-2020
    Référence : CVE-2020-8558

    GKE

    Description Gravité

    Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités.

    Pour exploiter cette faille sur les clusters GKE, le pirate informatique doit disposer de droits d'administrateur réseau sur le service Google Cloud hébergeant le VPC du cluster. Cette faille seule n'accorde pas de droits d'administrateur réseau au pirate informatique. Pour cette raison, le niveau de gravité de cette faille est faible pour GKE.

    Que dois-je faire ?

    Pour corriger cette faille, mettez à jour les pools de nœuds de votre cluster vers les versions GKE suivantes (ou ultérieures) :

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif résout la faille suivante : CVE-2020-8558.

    Faible

    Clusters GKE activés

    Description Gravité

    Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités.

    Que dois-je faire ?

    Pour résoudre cette faille, mettez à niveau votre cluster vers une version incluant le correctif. Les versions suivantes de GKE sur VMware ou des versions ultérieures contient le correctif de cette faille:

    • GKE sur VMware 1.4.1

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif résout la faille suivante : CVE-2020-8558.

    Moyenne

    Clusters GKE activés

    Description Gravité

    Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités.

    Pour exploiter cette faille sur les clusters d'utilisateur, un pirate informatique doit désactiver les vérifications source/destination sur les instances EC2 du cluster. Pour ce faire, le pirate informatique doit disposer des autorisations AWS IAM pour ModifyInstanceAttribute ou ModifyNetworkInterfaceAttribute sur les instances EC2. C'est pourquoi le niveau de gravité Faible a été attribué à cette faille. GKE sur AWS.

    Que dois-je faire ?

    Pour résoudre cette faille, mettez à niveau votre cluster vers une version incluant le correctif. Les versions suivantes de GKE sur AWS et les versions ultérieures devraient inclure le correctif de cette faille :

    • GKE sur AWS 1.4.1-gke.17

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif résout la faille suivante : CVE-2020-8558.

    Faible

    GCP-2020-009

    Date de publication : 15/07/2020
    Référence : CVE-2020-8559

    GKE

    Description Gravité

    Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction.

    Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster.

    Que dois-je faire ?

    Mettez à jour votre cluster vers une version corrigée. Les clusters seront mis à jour automatiquement au cours des prochaines semaines, et des versions corrigées seront disponibles d'ici le 19 juillet 2020 en suivant un calendrier accéléré des mises à jour manuelles. Les versions suivantes du plan de contrôle GKE et les versions plus récentes contiennent un correctif permettant de remédier à cette faille :

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille CVE-2020-8559. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle nécessite que le pirate informatique ait préalablement reçu des informations personnelles sur le cluster, les nœuds et les charges de travail pour réaliser efficacement cette attaque en plus de disposer d'un nœud compromis. Cette faille en elle-même ne fournit pas un nœud compromis au pirate informatique.

    Moyenne

    Clusters GKE activés

    Description Gravité

    Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction.

    Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster.

    Que dois-je faire ?

    Mettez à niveau votre cluster vers une version corrigée. La prochaine version de GKE sur VMware versions ultérieures contiennent le correctif de cette faille:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille CVE-2020-8559. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle nécessite que le pirate informatique ait préalablement reçu des informations personnelles sur le cluster, les nœuds et les charges de travail pour réaliser efficacement cette attaque en plus de disposer d'un nœud compromis. Cette faille en elle-même ne fournit pas un nœud compromis au pirate informatique.

    Moyenne

    Clusters GKE activés

    Description Gravité

    Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction.

    Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster.

    Que dois-je faire ?

    La version en disponibilité générale de GKE sur AWS (1.4.1, disponible fin juillet 2020) ou version ultérieure inclut le correctif de cette faille. Si vous utilisez une version précédente, téléchargez une nouvelle version de l'outil de ligne de commande anthos-gke, puis recréez vos clusters de gestion et d'utilisateur.

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille CVE-2020-8559. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle nécessite que le pirate informatique ait préalablement reçu des informations personnelles sur le cluster, les nœuds et les charges de travail pour réaliser efficacement cette attaque en plus de disposer d'un nœud compromis. Cette faille en elle-même ne fournit pas un nœud compromis au pirate informatique.

    Moyen

    GCP-2020-007

    Date de publication : 01-06-2020
    Référence : CVE-2020-8555

    GKE

    Description Gravité

    La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs Kubernetes. Il est donc concerné par cette faille. Nous vous recommandons de mettre à jour le plan de contrôle en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Aucune mise à niveau de nœud n'est requise.

    Que dois-je faire ?

    Pour la plupart des clients, aucune action n'est requise. La grande majorité des clusters exécutent déjà une version corrigée. Les versions de GKE suivantes, ainsi que les versions ultérieures, contiennent le correctif de cette faille :
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Les clusters qui ont recours à des canaux de publication utilisent déjà les versions du plan de contrôle permettant de réduire les risques liés à la faille.

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille CVE-2020-8555. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle était difficile à exploiter en raison des diverses mesures de renforcement des plans de contrôle.

    Un pirate informatique autorisé à créer un pod avec certains types de volumes intégrés (comme GlusterFS, Quobyte, StorageFS ou ScaleIO) ou à créer un objet StorageClass, peut activer l'envoi de requêtes GET ou POST par kube-controller-manager sans que le corps de la requête contrôlée par le pirate provienne du réseau hôte du maître. Ces types de volumes étant rarement employés sur GKE, leur utilisation récente constitue un bon signal de détection.

    Associés à des moyens permettant de partager les résultats de la commande GET/POST avec le pirate (via des journaux, par exemple), ils peuvent entraîner la divulgation d'informations sensibles. Nous avons mis à jour les pilotes de stockage concernés afin de supprimer les risques de telles divulgations.

    Moyenne

    Clusters GKE activés

    Description Gravité

    La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs Kubernetes. Il est donc concerné par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Aucune mise à niveau de nœud n'est requise.

    Que dois-je faire ?

    Les versions suivantes de GKE sur VMware ou les versions ultérieures contient le correctif de cette faille:

    • Anthos 1.3.0

    Si vous utilisez une version précédente, mettez à niveau votre cluster existant vers une version bénéficiant du correctif.

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille CVE-2020-8555. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle était difficile à exploiter en raison des diverses mesures de renforcement des plans de contrôle.

    Un pirate informatique autorisé à créer un pod avec certains types de volumes intégrés (comme GlusterFS, Quobyte, StorageFS ou ScaleIO) ou à créer un objet StorageClass, peut activer l'envoi de requêtes GET ou POST par kube-controller-manager sans que le corps de la requête contrôlée par le pirate provienne du réseau hôte du maître. Ces types de volumes étant rarement employés sur GKE, leur utilisation récente constitue un bon signal de détection.

    Associés à des moyens permettant de partager les résultats de la commande GET/POST avec le pirate (via des journaux, par exemple), ils peuvent entraîner la divulgation d'informations sensibles. Nous avons mis à jour les pilotes de stockage concernés afin de supprimer les risques de telles divulgations.

    Moyenne

    Clusters GKE activés

    Description Gravité

    La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs Kubernetes. Il est donc concerné par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Aucune mise à niveau de nœud n'est requise.

    Que dois-je faire ?

    GKE sur AWS v0.20 ou une version ultérieure inclut déjà le correctif de cette faille. Si vous utilisez une version précédente, téléchargez une nouvelle version de l'outil de ligne de commande anthos-gke, puis recréez vos clusters de gestion et d'utilisateur.

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille CVE-2020-8555. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle était difficile à exploiter en raison des diverses mesures de renforcement des plans de contrôle.

    Un pirate informatique autorisé à créer un pod avec certains types de volumes intégrés (comme GlusterFS, Quobyte, StorageFS ou ScaleIO) ou à créer un objet StorageClass, peut activer l'envoi de requêtes GET ou POST par kube-controller-manager sans que le corps de la requête contrôlée par le pirate provienne du réseau hôte du maître. Ces types de volumes étant rarement employés sur GKE, leur utilisation récente constitue un bon signal de détection.

    Associés à des moyens permettant de partager les résultats de la commande GET/POST avec le pirate (via des journaux, par exemple), ils peuvent entraîner la divulgation d'informations sensibles. Nous avons mis à jour les pilotes de stockage concernés afin de supprimer les risques de telles divulgations.

    Moyen

    GCP-2020-006

    Date de publication : 01-06-2020
    Référence : Problème Kubernetes 91507

    GKE

    Description Gravité

    Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) affectées par cette faille. Nous vous recommandons mise à niveau à la dernière version du correctif, comme expliqué ci-dessous.

    Que dois-je faire ?

    Pour réduire les risques liés à cette faille, mettez votre plan de contrôle, puis vos nœuds en installant l'une des versions corrigées répertoriées ci-dessous. Les clusters situés sur des canaux de publication exécutent déjà une version corrigée aussi bien sur le plan de contrôle que sur les nœuds :
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Très peu de conteneurs nécessitent généralement CAP_NET_RAW. Il faut donc la bloquer par défaut, ainsi que d'autres fonctionnalités puissantes, via PodSecurityPolicy ou Anthos Policy Controller :

    Supprimez la fonctionnalité CAP_NET_RAW des conteneurs à l'aide de l'une des méthodes suivantes :

    • Appliquez le blocage de ces fonctionnalités avec PodSecurityPolicy, Par exemple:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Vous pouvez aussi utiliser Policy Controller ou Gatekeeper avec cette contrainte modèle et en l'appliquant, par exemple:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou en mettant à jour les spécifications de votre pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille suivante :

    La faille décrite dans l'article Problème Kubernetes 91507 est liée à la fonctionnalité CAP_NET_RAW (qui fait partie de l'ensemble de fonctionnalités par défaut du conteneur). Elle configure de manière malveillante la pile IPv6 sur le nœud, et redirige le trafic de nœuds vers le conteneur contrôlé par le pirate. Cela permet au pirate d'intercepter ou de modifier le trafic en provenance du nœud ou à destination de celui-ci. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque.

    Moyenne

    Clusters GKE activés

    Description Gravité

    Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) affectées par cette faille. Nous vous recommandons passer à la dernière version du correctif, comme expliqué ci-dessous.

    Que dois-je faire ?

    Afin d'atténuer cette faille pour GKE sur VMware, mettre à niveau vos clusters vers la version suivante ou ultérieure:
    • Anthos 1.3.2

    Très peu de conteneurs nécessitent généralement CAP_NET_RAW. Il faut donc la bloquer par défaut, ainsi que d'autres fonctionnalités puissantes, via Anthos Policy Controller ou en mettant à jour les spécifications du pod :

    Supprimez la fonctionnalité CAP_NET_RAW des conteneurs à l'aide de l'une des méthodes suivantes :

    • Appliquez le blocage de ces fonctionnalités avec PodSecurityPolicy, Par exemple:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Vous pouvez aussi utiliser Policy Controller ou Gatekeeper avec cette contrainte modèle et en l'appliquant, par exemple:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou en mettant à jour les spécifications de votre pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille suivante :

    La faille décrite dans l'article Problème Kubernetes 91507 est liée à la fonctionnalité CAP_NET_RAW (qui fait partie de l'ensemble de fonctionnalités par défaut du conteneur). Elle configure de manière malveillante la pile IPv6 sur le nœud, et redirige le trafic de nœuds vers le conteneur contrôlé par le pirate. Cela permet au pirate d'intercepter ou de modifier le trafic en provenance du nœud ou à destination de celui-ci. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque.

    Moyenne

    Clusters GKE activés

    Description Gravité

    Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) affectées par cette faille. Nous vous recommandons passer à la dernière version du correctif, comme expliqué ci-dessous.

    Que dois-je faire ?

    Téléchargez l'outil de ligne de commande anthos-gke avec la version suivante ou ultérieure, puis recréez vos clusters de gestion et d'utilisateur :

    • aws-0.2.1-gke.7

    Très peu de conteneurs nécessitent généralement CAP_NET_RAW. Il faut donc la bloquer par défaut, ainsi que d'autres fonctionnalités puissantes, via Anthos Policy Controller ou en mettant à jour les spécifications du pod :

    Supprimez la fonctionnalité CAP_NET_RAW des conteneurs à l'aide de l'une des méthodes suivantes :

    • Appliquez le blocage de ces fonctionnalités avec PodSecurityPolicy, Par exemple:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Vous pouvez aussi utiliser Policy Controller ou Gatekeeper avec cette contrainte modèle et en l'appliquant, par exemple:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou en mettant à jour les spécifications de votre pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille suivante :

    La faille décrite dans l'article Problème Kubernetes 91507 est liée à la fonctionnalité CAP_NET_RAW (qui fait partie de l'ensemble de fonctionnalités par défaut du conteneur). Elle configure de manière malveillante la pile IPv6 sur le nœud, et redirige le trafic de nœuds vers le conteneur contrôlé par le pirate. Cela permet au pirate d'intercepter ou de modifier le trafic en provenance du nœud ou à destination de celui-ci. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque.

    Moyen

    GCP-2020-005

    Date de publication : 07-05-2020
    Mise à jour : 07-05-2020
    Référence : CVE-2020-8835

    GKE

    Description Gravité

    La faille CVE-2020-8835 a été récemment découverte dans le noyau Linux. Elle permet de "s'échapper d'un conteneur" pour obtenir un accès root (racine) sur le nœud hôte.

    Cette faille affecte les nœuds Ubuntu exécutant Google Kubernetes Engine (GKE) version 1.16 ou 1.17. Nous vous recommandons donc d'effectuer dès que possible une mise à niveau en installant la dernière version du correctif, conformément à la procédure décrite ci-dessous.

    Les nœuds exécutant Container-Optimized OS ne sont pas concernés, Nœuds exécutés sur GKE sur VMware ne sont pas concernés.

    Que dois-je faire ?

    Pour la plupart des clients, aucune action n'est requise. Seuls les nœuds Ubuntu exécutant GKE version 1.16 ou 1.17 sont concernés.

    Avant tout, vous devez mettre à niveau votre nœud maître vers la toute dernière version. Le correctif sera disponible dans Kubernetes 1.16.8-gke.12 et 1.17.4-gke.10, ainsi que dans les versions ultérieures. Pour vérifier la disponibilité de ces correctifs, consultez les notes de version.

    Quelle faille ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés à la faille suivante :

    La faille CVE-2020-8835 affecte les versions 5.5.0 et ultérieures du noyau Linux. Elle permet à un conteneur malveillant d'accéder en lecture et en écriture à la mémoire du noyau, et ainsi d'exécuter des codes avec un accès root par le biais d'un simple appel système "exec". La gravité de cette faille est évaluée comme élevée.

    Élevé

    GCP-2020-004

    Date de publication : 07-05-2020
    Dernière mise à jour : 07-05-2020
    Référence : CVE-2019-11254

    Clusters GKE activés

    Description Gravité

    La faille CVE-2019-11254 a été récemment découverte dans Kubernetes. Elle permet à tout utilisateur autorisé d'effectuer des requêtes POST afin de réaliser une attaque par déni de service à distance sur un serveur d'API Kubernetes. Le comité de sécurité des produits (PSC, Product Security Committee) Kubernetes a publié des informations complémentaires sur cette faille. Pour les consulter, cliquez ici.

    Vous pouvez réduire les risques liés à cette faille en limitant les clients disposant d'un accès réseau à vos serveurs d'API Kubernetes.

    Que dois-je faire ?

    Nous vous recommandons de mettre à jour vos clusters vers des versions contenant le correctif permettant de remédier à cette faille dès que ces versions seront disponibles.

    Les versions qui contiennent le correctif sont indiquées ci-dessous :

    • Anthos 1.3.0, qui exécute la version 1.15.7-gke.32 de Kubernetes

    Quelles failles ce correctif permet-il de résoudre ?

    Ce correctif permet de résoudre la faille de déni de service (DoS) suivante :

    CVE-2019-11254.

    Moyen

    GCP-2020-003

    Date de publication : 31-03-2020
    Dernière mise à jour : 31-03-2020
    Référence : CVE-2019-11254

    GKE

    Description Gravité

    La faille CVE-2019-11254 a été récemment découverte dans Kubernetes. Elle permet à tout utilisateur autorisé d'effectuer des requêtes POST afin de réaliser une attaque par déni de service à distance sur un serveur d'API Kubernetes. Le comité de sécurité des produits (PSC, Product Security Committee) Kubernetes a publié des informations complémentaires sur cette faille. Pour les consulter, cliquez ici.

    Les clusters GKE qui utilisent des réseaux autorisés maîtres et des clusters privés sans accès à un point de terminaison public réduisent les risques liés à cette faille.

    Que dois-je faire ?

    Nous vous recommandons de mettre à niveau votre cluster vers une version du correctif permettant de remédier à cette faille.

    Les versions du correctif correspondantes sont indiquées ci-dessous :

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Quelles failles ce correctif permet-il de résoudre ?

    Ce correctif permet de résoudre la faille de déni de service (DoS) suivante :

    CVE-2019-11254.

    Moyen

    GCP-2020-002

    Date de publication : 23/03/2020
    Mise à jour:23-03-2020
    Référence: CVE-2020-8551, CVE-2020-8552

    GKE

    Description Gravité

    La communauté Kubernetes a divulgué deux failles de déni de service, l'une affectant le serveur d'API et l'autre ayant des conséquences sur les kubelets. Pour en savoir plus, reportez-vous aux problèmes Kubernetes 89377 et 89378.

    Que dois-je faire ?

    Tous les utilisateurs de GKE sont protégés contre la faille CVE-2020-8551 tant que les utilisateurs non approuvés ne peuvent pas envoyer de requêtes au sein du réseau interne du cluster. L'utilisation des réseaux autorisés maîtres réduit également les risques liés à la faille CVE-2020-8552.

    Quand des correctifs seront-ils appliqués ?

    Les correctifs de la faille CVE-2020-8551 nécessitent une mise à niveau des nœuds. Les versions du correctif permettant de réduire les risques liés à cette faille sont indiquées ci-dessous :

    • 1.15.10-gke*
    • 1.16.7-gke*

    Les correctifs de la faille CVE-2020-8552 nécessitent une mise à niveau du maître. Les versions du correctif permettant de réduire les risques liés à cette faille sont indiquées ci-dessous :

    • 1.14.10-gke.32
    • 1.15.10-gke*
    • 1.16.7-gke*
    Moyenne

    GCP-january_21_2020

    Date de publication : 21-01-2020
    Dernière mise à jour : 24-01-2020
    Référence : CVE-2019-11254

    GKE

    Description Gravité

    Mise à jour du 24/01/2020 : le processus de mise à disposition des versions corrigées est en cours et devrait s'achever le 25 janvier 2020.


    Microsoft a révélé la présence d'une faille dans l'API Windows Crypto et son processus de validation des signatures à courbes elliptiques. Pour en savoir plus, consultez le communiqué de Microsoft.

    Que dois-je faire ?

    Pour la plupart des clients, aucune action n'est requise. Seuls les nœuds qui exécutent Windows Server sont concernés.

    Les clients qui utilisent les nœuds Windows Server doivent mettre à jour à la fois les nœuds et les charges de travail en conteneur exécutées sur ceux-ci, en installant les versions corrigées pour réduire les risques liés à cette faille.

    Pour mettre à jour les conteneurs, procédez comme suit :

    Recréez vos conteneurs à l'aide des dernières images de conteneurs de base de Microsoft. Pour cela, sélectionnez un tag servercore ou nanoserver dont la mise à jour la plus récente a été effectuée le 14 janvier 2020 ou après cette date.

    Pour mettre à jour les nœuds, procédez comme suit :

    Le processus de mise à disposition des versions corrigées est en cours et s'achèvera d'ici le 24 janvier 2020.

    Vous pouvez soit patienter jusqu'à cette date et effectuer une mise à jour des nœuds en installant une version corrigée de GKE, soit utiliser Windows Update pour déployer le dernier correctif Windows manuellement à tout moment.

    Vous trouverez ci-dessous la liste des versions du correctif permettant de réduire les risques liés à cette faille :

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Quelles failles ce correctif permet-il de résoudre ?

    Ce correctif réduit les risques liés aux failles suivantes :

    CVE-2020-0601 (aussi appelée la faille de spoofing de l'API Windows Crypto) : un pirate peut l'exploiter pour faire en sorte que ses fichiers exécutables malveillants soient considérés comme fiables ou encore pour procéder à des attaques de type MITM ("man in the middle") afin de déchiffrer des informations confidentielles diffusées via les connexions TLS associées aux logiciels concernés par la faille.

    Score de base NVD : 8,1 (élevé)

    Bulletins de sécurité archivés

    Pour les bulletins de sécurité antérieurs à 2020, consultez l'archive des bulletins de sécurité.