Sicherheitsbulletins

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26925

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26925

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26925

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26925

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26925

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-36972

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-36972

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-36972

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-36972

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-36972

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26921

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26921

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26921

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26921

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Update vom 18.07.2024 : Falsche Version in der Originalversion gaben an, dass Autopilot-Cluster betroffen sind. Autopilot-Cluster in der Standardkonfiguration ist nicht betroffen, ist aber gefährdet, wenn Sie Legen Sie das Profil seccomp Unconfined fest oder lassen Sie die Funktion CAP_NET_ADMIN zu.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26809

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26809

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26809

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26809

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26809

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52654
• CVE-2023-52656

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Update vom 03.07.2024 : Ein beschleunigter Rollout läuft und wird neue Patchversionen voraussichtlich bis zum 3. Juli 2024, 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7). Bis erhalten Sie eine Benachrichtigung, sobald ein Patch für Ihren spezifischen Cluster verfügbar ist, verwenden Sie Clusterbenachrichtigungen.

Aktualisierung vom 02.07.2024 : Diese Sicherheitslücke betrifft sowohl den Autopilot-Modus als auch und im Standardmodus. In den folgenden Abschnitten sind die Modi aufgeführt, für den dieser Abschnitt gilt.

Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Alle unterstützten Versionen von Container-Optimized OS- und Ubuntu-Images in GKE Versionen von OpenSSH ausführen, die anfällig für dieses Problem sind.

GKE-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die über das Internet zugänglich sind sollte zur Risikominderung mit höchster Priorität behandelt werden.

Die GKE-Steuerungsebene ist für dieses Problem nicht anfällig.

Wie gehe ich am besten vor?

Update vom 03.07.2024: Patchversionen für GKE

Ein beschleunigtes Roll-out läuft und es werden voraussichtlich neue Patchversionen erstellt in allen Zonen bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) verfügbar.

Das Upgrade von Clustern und Knoten, für die das automatische Upgrade aktiviert ist, beginnt im Laufe der Woche. Aufgrund des Schweregrads der Sicherheitslücke empfehlen wir jedoch, ein manuelles Upgrade durchzuführen. Gehen Sie dazu so vor: Patches so schnell wie möglich zu erhalten.

Für Autopilot- und Standardcluster Steuerungsebene aktualisieren auf eine Patchversion. Für Cluster im Standardmodus Knotenpools aktualisieren auf eine Patchversion. Autopilot-Cluster beginnen mit dem Upgrade Ihrer Knoten Version der Steuerungsebene so schnell wie möglich.

Für jede unterstützte Version sind Patchversionen von GKE verfügbar, um Änderungen vornehmen, die zum Anwenden des Patches erforderlich sind. Die Versionsnummer jeder neuen Version ist ein wird bei der letzten Ziffer der Versionsnummer einer entsprechenden vorhandenen Version erhöht. Wenn Sie sich beispielsweise auf 1.27.14-gke.1100000 befinden, führen Sie ein Upgrade auf 1.27.14-gke.1100002 aus, um mit der kleinstmöglichen Änderung herausfinden. Die folgende gepatchte GKE Versionen verfügbar:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Führen Sie den folgenden Befehl aus, um zu prüfen, ob in Ihrer Clusterzone oder -region ein Patch verfügbar ist: Befehl:

gcloud container get-server-config --location=LOCATION

Ersetzen Sie LOCATION durch Ihre Zone oder Region.

Aktualisierung vom 02.07.2024 : Sowohl Autopilot-Modus als auch Standardmodus Cluster sollten so schnell wie möglich aktualisiert werden, nachdem Patchversionen verfügbar sind.

Eine GKE-Patchversion, die ein aktualisiertes OpenSSH enthält, wird erstellt so schnell wie möglich verfügbar sind. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. So erhältst du eine Pub/Sub-Benachrichtigung, sobald ein Patch für deinen Kanal verfügbar ist: Clusterbenachrichtigungen aktivieren Wir empfehlen, die folgenden Schritte auszuführen, um die Gefährdung Ihres Clusters zu prüfen. die beschriebenen Abhilfemaßnahmen bei Bedarf anwenden.

Bestimmen, ob Ihre Knoten öffentliche IP-Adressen haben

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot als auch für Standardcluster.

Wenn ein Cluster mit enable-private-nodes erstellt wird, Knoten bleiben privat. Dadurch wird die Sicherheitslücke verringert, indem die Internet. Führen Sie den folgenden Befehl aus, um festzustellen, ob private Knoten für Ihren Cluster aktiviert sind:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Wenn der Rückgabewert „True“ ist, sind alle Knoten private Knoten für diesen Cluster und den die Sicherheitslücken geschlossen werden. Wenn der Wert leer oder falsch ist, wenden Sie einen der folgenden Werte an: die Abhilfemaßnahmen in den folgenden Abschnitten.

Mit dieser Cloud Asset Inventory-Abfrage können Sie alle Cluster finden, die ursprünglich mit öffentlichen Knoten erstellt wurden. im Projekt oder im Unternehmen:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

SSH für die Clusterknoten nicht zulassen

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot als auch für Standardcluster.

Für das Standardnetzwerk ist bereits die Firewallregel default-allow-ssh festgelegt um SSH-Zugriff aus dem öffentlichen Internet zuzulassen. So entfernen Sie diesen Zugriff:

• Optional: Regeln erstellen um den erforderlichen SSH-Zugriff von vertrauenswürdigen Netzwerken auf GKE-Knoten zu ermöglichen oder andere Compute Engine-VMs im Projekt erstellen.
• Deaktivieren Sie die Standardfirewallregel mit dem folgenden Befehl:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Wenn Sie weitere Firewallregeln erstellt haben, die SSH über TCP an Port 22 zulassen, oder die Quell-IP-Adressen auf vertrauenswürdige Netzwerke beschränken.

Achten Sie darauf, dass Sie nicht mehr SSH an die Clusterknoten senden können. aus dem Internet. Diese Firewallkonfiguration verringert die Sicherheitslücke.

Öffentliche Knotenpools in private umwandeln

Aktualisierung vom 02.07.2024 : Für Autopilot-Cluster, die ursprünglich erstellt wurden als in öffentlichen Clustern, können Sie Ihre Arbeitslasten auf privaten Knoten platzieren mit nodeSelectors. Autopilot-Knoten, die Systemarbeitslasten in Clustern ausführen, die ursprünglich die als öffentliche Cluster erstellt wurden, sind immer noch öffentliche Knoten und sollten durch die im vorherigen Abschnitt beschriebenen Firewall-Änderungen geschützt werden.

Zum bestmöglichen Schutz von Clustern, die ursprünglich mit öffentlichen Knoten erstellt wurden, empfehlen wir zuerst, die SSH über die Firewall blockiert, wie bereits beschrieben. Wenn das nicht möglich ist SSH über Firewallregeln, Sie können öffentliche Knotenpools in GKE konvertieren Standardclustern auf „Privat“ zu setzen. Folgen Sie dazu dieser Anleitung zum Isolieren von Knotenpools.

SSHD-Konfiguration ändern

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt nur für Standard-Apps, Cluster. Autopilot-Arbeitslasten dürfen die Knotenkonfiguration nicht ändern.

Wenn keine dieser Abhilfemaßnahmen angewendet werden kann, haben wir auch ein Daemonset veröffentlicht. Dadurch wird der SSH-Daemon LoginGraceTime auf null gesetzt und der SSH-Daemon neu gestartet. Dieses Daemonset kann auf den Cluster angewendet werden, um den Angriff abzumildern. Beachten Sie, dass diese Konfiguration kann das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit legitimen SSH-Zugriff. Dieses Daemonset sollte entfernt werden, nachdem ein Patch angewendet wurde.

Update vom 11.07.2024 : die folgenden Versionen der GDC-Software für VMware wurden mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Aktualisieren Sie Ihre Administrator-Workstation, Administratorcluster und Nutzercluster (einschließlich Knotenpools) zu einem der folgenden oder höher. Anweisungen finden Sie unter Cluster oder Knotenpool upgraden

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

Im Update vom 02.07.2024 zu diesem Bulletin wurde fälschlicherweise angegeben, dass alle unterstützten Versionen Ubuntu-Images in GDC-Software für VMware führen OpenSSH-Versionen aus, die anfällig für dieses Problem sind. Ubuntu-Images in der GDC-Software für VMware-Version 1.16 Cluster führen Versionen von OpenSSH aus, die für dieses Problem nicht anfällig sind. Ubuntu Images in GDC-Software für VMware 1.28 und 1.29 sind anfällig. Container-Optimized OS-Images unter allen unterstützten Versionen von GDC-Software für VMware ist anfällig für dieses Problem.

Update vom 02.07.2024 : Alle unterstützten Versionen von Container-Optimized OS und Ubuntu-Images in GDC-Software für VMware führen anfällige OpenSSH-Versionen aus mit diesem Thema befassen.

GDC-Software für VMware-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, Das Internet sollte zur Entschärfung mit höchster Priorität behandelt werden.

Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Wie gehe ich am besten vor?

Update vom 02.07.2024 : Gepatchte GDC-Software für die VMware-Version, die enthält einen aktualisierten OpenSSH, der so bald wie möglich zur Verfügung gestellt wird. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Sie sollten Folgendes anwenden: bei Bedarf Abhilfemaßnahmen einleiten.

SSH für die Clusterknoten nicht zulassen

Sie können die Einrichtung Ihres Infrastrukturnetzwerks so ändern, dass SSH-Verbindungen nicht möglich sind von nicht vertrauenswürdigen Quellen wie dem öffentlichen Internet.

SSHD-Konfiguration ändern

Wenn Sie die oben genannte Risikominderung nicht anwenden können, gibt es hat ein DaemonSet veröffentlicht Dadurch wird der SSH-Daemon LoginGraceTime auf null gesetzt und der SSH-Daemon neu gestartet. Dieses DaemonSet kann auf den Cluster angewendet werden, um den Angriff abzumildern. Beachten Sie, dass dies Konfiguration das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme verursachen mit legitimem SSH-Zugriff. Entfernen Sie dieses DaemonSet, nachdem ein Patch angewendet wurde.

Aktualisierung vom 11. Juli 2024 : Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Führen Sie ein Upgrade Ihrer GKE on AWS-Steuerungsebene und -Knotenpools auf einen dieser Dienste durch Patchversionen oder höher. Anweisungen finden Sie unter Upgrade der AWS-Clusterversion durchführen und Knotenpool aktualisieren

Update vom 02.07.2024 : Alle unterstützten Versionen von Ubuntu-Images auf GKE on AWS führt Versionen von OpenSSH aus, die anfällig für dieses Problem sind.

GKE on AWS-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die für den Das Internet sollte zur Entschärfung mit höchster Priorität behandelt werden.

Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GKE on AWS-Version, die enthält einen aktualisierten OpenSSH, der so bald wie möglich zur Verfügung gestellt wird. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen Ihnen, die führen Sie die folgenden Schritte aus, um die Gefährdung Ihres Clusters zu prüfen und die beschriebenen Abhilfemaßnahmen anzuwenden. notwendig ist.

Bestimmen, ob Ihre Knoten öffentliche IP-Adressen haben

GKE on AWS stellt keine Maschine mit öffentlichen IP-Adressen bereit oder mit Firewallregeln, die Traffic standardmäßig an Port 22 zulassen. Abhängig von den Ihre Subnetzkonfiguration, Maschinen können während der Bereitstellung automatisch eine öffentliche IP-Adresse erhalten.

So prüfen Sie, ob Knoten öffentliche IP-Adressen bereitgestellt werden: Sehen Sie sich die Konfiguration des Subnetzes an. die mit Ihrer AWS-Knotenpoolressource verknüpft ist.

SSH für die Clusterknoten nicht zulassen

Auch wenn GKE on AWS auf keinem Knoten Traffic an Port 22 zulässt, können Kunden zusätzliche Sicherheitsgruppen an Knotenpools anhängen, um eingehende SSH-Traffic.

Wir empfehlen Ihnen, entfernen oder Umfang herabstufen entsprechende Regeln aus den bereitgestellten Sicherheitsgruppen.

Öffentliche Knotenpools in private umwandeln

Zum bestmöglichen Schutz von Clustern mit öffentlichen Knoten empfehlen wir, zuerst SSH über Ihre Sicherheitsgruppe, wie im vorherigen Abschnitt beschrieben. Wenn Sie SSH nicht ablehnen können Sicherheitsgruppenregeln festlegen, können Sie öffentliche Knotenpools Deaktivierung der Option, Maschinen in einem Subnetz automatisch öffentliche IP-Adressen zuzuweisen und stellen Sie den Knotenpool noch einmal bereit.

Aktualisierung vom 11. Juli 2024 : die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Führen Sie ein Upgrade Ihrer GKE on Azure-Steuerungsebene und Knotenpools auf eine dieser durch Patchversionen oder höher. Anweisungen finden Sie unter Upgrade der Azure-Clusterversion durchführen und Knotenpool aktualisieren

Update vom 02.07.2024 : Alle unterstützten Versionen von Ubuntu-Images auf GKE on Azure führt OpenSSH-Versionen aus, die anfällig für dieses Problem sind.

GKE on Azure-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die für den Das Internet sollte zur Entschärfung mit höchster Priorität behandelt werden.

Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Wie gehe ich am besten vor?

Update vom 02.07.2024 : Gepatchte GKE on Azure-Version, die enthält einen aktualisierten OpenSSH, der so bald wie möglich zur Verfügung gestellt wird. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen Ihnen, die führen Sie die folgenden Schritte aus, um die Gefährdung Ihres Clusters zu prüfen und die beschriebenen Abhilfemaßnahmen anzuwenden. notwendig ist.

Bestimmen, ob Ihre Knoten öffentliche IP-Adressen haben

GKE on Azure stellt keine Maschine mit Öffentliche IP-Adressen oder mit Firewallregeln, die Traffic standardmäßig an Port 22 zulassen. So überprüfen Sie Ihre Azure-Konfiguration, um zu prüfen, ob öffentliche IP-Adressen konfiguriert sind Ihrem GKE on Azure-Cluster, führen Sie den folgenden Befehl aus:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

SSH für die Clusterknoten nicht zulassen

Auch wenn GKE on Azure keinen Traffic an Port 22 auf können Kunden NetworkSecurityGroup-Regeln auf Knotenpools aktualisieren, um eingehende SSH-Traffic aus dem öffentlichen Internet.

Wir empfehlen Ihnen dringend, die Netzwerksicherheitsgruppen (NSGs) zu prüfen, die mit Ihre Kubernetes-Cluster. Wenn eine NSG-Regel vorhanden ist, die uneingeschränkten eingehenden Traffic zulässt An Port 22 (SSH) führen Sie einen der folgenden Schritte aus:

• Regel vollständig entfernen: Wenn der SSH-Zugriff auf die Clusterknoten nicht aus dem Internet erforderlich ist, entfernen Sie die Regel, um potenzielle Angriffsvektoren zu eliminieren.
• Bereich der Regel herunterstufen: Beschränken Sie den eingehenden Zugriff auf Port 22 auf den IP-Adressen oder -Bereichen, für die sie erforderlich ist. Dadurch wird die sichtbare Oberfläche für potenzielle Angriffe.

Öffentliche Knotenpools in private umwandeln

Zum bestmöglichen Schutz von Clustern mit öffentlichen Knoten empfehlen wir, zuerst SSH über Ihre Sicherheitsgruppe, wie im vorherigen Abschnitt beschrieben. Wenn Sie SSH nicht ablehnen können Sicherheitsgruppenregeln festlegen, können Sie öffentliche Knotenpools entfernen Sie die öffentlichen IP-Adressen, die den VMs zugeordnet sind.

Öffentliche IP-Adresse von einer VM entfernen und durch eine private IP-Adresse ersetzen Konfiguration finden Sie unter Trennen Sie eine öffentliche IP-Adresse von einer Azure-VM.

Auswirkungen: Alle bestehenden Verbindungen, die die öffentliche IP-Adresse verwenden, unterbrochen. Stellen Sie sicher, dass Sie alternative Zugriffsmethoden eingerichtet haben, z. B. ein VPN oder Azure-Bastion.

Aktualisierung vom 02.07.2024 : Die ursprüngliche Version dieses Bulletins für GDC-Software für Bare Metal gab fälschlicherweise an, dass Patchversionen in Bearbeitung waren. GDC-Software für Bare Metal ist nicht direkt betroffen, da sie den SSH-Daemon oder -Konfiguration des Betriebssystems. Patchversionen sind daher die des Betriebssystemanbieters, wie in den Was soll ich tun?.

Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, könnten dazu verwendet werden, sich Zugriff auf eine Remote-Shell zu verschaffen, damit Angreifer Root-Zugriff erhalten. zu GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde angenommen, dass die Ausbeutung und dauern mehrere Stunden pro angegriffener Maschine. Wir kennen keine und Ausbeutungsversuche.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Wenden Sie sich an Ihren Betriebssystemanbieter, um einen Patch für die Betriebssysteme, die mit GDC-Software für Bare Metal verwendet werden

Achten Sie darauf, dass öffentlich erreichbare Maschinen erst nach Anwendung des Betriebssystem-Anbieter-Patches SSH-Verbindungen aus dem Internet zulassen. Sollte dies nicht möglich sein, kannst du alternativ Setzen Sie LoginGraceTime auf null und starten Sie den SSHD-Server neu:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Beachten Sie, dass diese Konfigurationsänderung das Risiko von Denial-of-Service-Angriffen erhöhen kann. und kann zu Problemen mit dem legitimen SSH-Zugriff führen.

Ursprünglicher Text vom 01.07.2024 (Korrektur siehe vorherige Aktualisierung vom 02.07.2024):

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26923

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26923

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26923

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26923

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26923

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26924

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26924

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26924

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26924

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26924

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26584

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26584

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26584

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgende GKE-Version wurde mit Code aktualisiert, um diese Sicherheitslücke zu beheben auf Container-Optimized OS. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf die folgende Patch-Version oder höher:

• 1.27.15-gke.1125000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen, für die jedoch keine Patchversion verfügbar ist. Wir werden Aktualisieren Sie dieses Bulletin, sobald Patchversionen verfügbar sind:

• 1,26
• 1,27

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26584

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26584

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26584

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26583

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 10. Juli 2024 : Die folgenden Versionen von GKE sind mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf einen der folgenden Patchversionen oder höher:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Führen Sie für Nebenversionen 1.26 und 1.27 ein Upgrade Ihrer Container-Optimized OS-Knotenpools auf einer der folgenden Patchversionen oder höher:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26583

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26583

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26583

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2024-26583

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2022-23222

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2022-23222

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2022-23222

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2022-23222

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:

• CVE-2022-23222

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE verwendet keine angreifbare Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on VMware verwendet keine anfällige Version von Fluent Bit nicht betroffen sind.

Wie gehe ich am besten vor?

GKE on VMware ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on AWS verwendet keine anfällige Version von Fluent Bit nicht betroffen sind.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on Azure verwendet keine anfällige Version von Fluent Bit nicht betroffen sind.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on Bare Metal verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen sind.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52620

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52620

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52620

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52620

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-52620

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26642

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26642

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26642

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26642

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26642

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26581

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22. Mai 2024 : Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Ubuntu-Knotenpools upgraden auf die folgenden Versionen oder höher:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26581

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26581

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26581

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26581

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26808

Aktualisierung vom 09.05.2024: Schweregrad von „Mittel“ zu „Hoch“ korrigiert. Im ursprünglichen Bulletin war Autopilot angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 15. Mai 2024:Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Ubuntu-Knotenpools upgraden auf die folgenden Versionen oder höher:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26808

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26808

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26808

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26808

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Aktualisierung vom 09.05.2024:Der Schweregrad wurde von „Mittel“ zu „Hoch“ geändert.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26643

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26643

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26643

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26643

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26643

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26585

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26585

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26585

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26585

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-26585

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

GKE Autopilot- und Standardcluster sind betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 24. April 2024:Patchversionen für GKE wurden hinzugefügt.

Die folgenden GKE-Versionen enthalten die Golang-Sicherheitspatches, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GKE-Cluster auf die folgenden Versionen oder höher durch:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald GKE-Versionen mit diesen Patches verfügbar sind. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Konfigurieren Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene, um das Risiko zu minimieren:

Sie können Ihre Cluster vor dieser Angriffsklasse abwehren, indem Sie autorisierte Netzwerke konfigurieren. Folgen Sie der Anleitung zum Aktivieren autorisierter Netzwerke für einen vorhandenen Cluster.

Weitere Informationen dazu, wie autorisierte Netzwerke den Zugriff auf die Steuerungsebene steuern, finden Sie unter Funktionsweise autorisierter Netzwerke. Den standardmäßigen autorisierten Netzwerkzugriff finden Sie in der Tabelle im Abschnitt Zugriff auf Endpunkte der Steuerungsebene.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Update vom 17.07.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden Versionen von GKE on VMware enthalten Code zur Behebung dieses Problems eine Sicherheitslücke. Upgrade Ihrer GKE on VMware-Cluster auf Folgendes ausführen: Version oder höher:

• 1.29.0
• 1.28.500
• 1.16.8

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on VMware-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on AWS-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald GKE on Azure-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.07.2024:Patchversionen für GKE on Bare Metal wurden hinzugefügt.

Die folgenden Versionen von GKE on Bare Metal enthalten Code zur Behebung dieses Problems eine Sicherheitslücke. Upgrade Ihrer GKE on Bare Metal-Cluster auf Folgendes durchführen Version oder höher:

• 1.29.100
• 1.28.600
• 1.16.9

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald Versionen für GKE on Bare Metal verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-1085

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 06.05.2024:Die folgenden GKE-Versionen sind mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf den oder höher.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Update vom 04.04.2024: Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS.

Die GKE-Mindestversionen mit den zuvor aufgeführten Fehlerkorrekturen für Container-Optimized OS waren falsch. Die folgenden GKE-Versionen werden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf die folgenden Versionen oder höher durch:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-1085

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-1085

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-1085

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-1085

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3611

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3611

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3611

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3611

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3611

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3776

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3776

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3776

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3776

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3776

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3610

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3610

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3610

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3610

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-3610

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-0193

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-0193

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-0193

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-0193

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2024-0193

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-6932

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-6932

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-6932

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-6932

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:

• CVE-2023-6932

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6931

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6931

Wie gehe ich am besten vor?

Update vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

• 1.28.200
• 1.16.6
• 1.15.10

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6931

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6931

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6931

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

Ausgeführte GKE-Standardcluster Windows Server sowie die Verwendung eines integrierten Speicher-Plug-ins.

GKE Autopilot-Cluster und GKE-Knotenpools mit GKE Sandbox sind nicht da sie keine Windows Server-Knoten unterstützen.

Wie gehe ich am besten vor?

Prüfen Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie Audit-Logs auf Ausnutzungsnachweise. Kubernetes-Audit-Logs können ob diese Schwachstelle ausgenutzt wird. Nichtflüchtige Volume-Erstellungsereignisse mit lokale Pfadfelder mit Sonderzeichen sind ein deutliches Zeichen für Ausnutzung.

Aktualisieren Sie den GKE-Cluster und die Knotenpools auf eine Patchversion. Die Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, sollten Sie manuell umstellen Ihren Cluster und Windows Server-Knotenpools zu einer der folgenden GKE- Version oder höher:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

Ausgeführte GKE on VMware-Cluster Windows Server sowie die Verwendung eines integrierten Speicher-Plug-ins.

Wie gehe ich am besten vor?

Prüfen Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie Audit-Logs auf Ausnutzungsnachweise. Kubernetes-Audit-Logs können ob diese Schwachstelle ausgenutzt wird. Nichtflüchtige Volume-Erstellungsereignisse mit lokale Pfadfelder mit Sonderzeichen sind ein deutliches Zeichen für Ausnutzung.

Aktualisieren Sie Ihre GKE on VMware-Cluster und -Knotenpools auf eine Patchversion. Die Die folgenden Versionen von GKE on VMware wurden aktualisiert, um diese Sicherheitslücke zu beheben. Auch wenn Sie automatische Knotenupgrades aktiviert haben, sollten Sie manuell umstellen Ihren Cluster und Ihre Windows Server-Knotenpools zu einer der folgenden GKE on VMware Version oder höher:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on AWS-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Azure-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Bare Metal-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten unter Umständen vollen Zugriff auf das Knotendateisystem.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster mit GKE Sandbox sind davon nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 28.02.2024: Die folgenden GKE-Versionen haben wurde mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Ubuntu-Knotenpools upgraden auf eine der folgenden Patchversionen oder höher aktualisiert:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Aktualisierung vom 15.02.2024: Aufgrund eines Problems wurden die folgenden Ubuntu-Patchversionen der Aktualisierung vom 14.02.2024, können Ihre Knoten in einen fehlerhaften Zustand versetzt werden. Das sollten Sie nicht tun: auf die folgenden Patchversionen aktualisieren. Wir werden dieses Bulletin aktualisieren, sobald das neuere Patch Ubuntu-Versionen sind für 1.25 und 1.26 verfügbar.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Wenn Sie bereits ein Upgrade auf eine dieser Patchversionen durchgeführt haben, manuelles Downgrade auf eine frühere Version in Ihrer Release-Version.

Update vom 14.02.2024: Die folgenden GKE-Versionen haben wurde mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Ubuntu-Knotenpools upgraden auf eine der folgenden Patchversionen oder höher aktualisiert:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Aktualisierung vom 06.02.2024: Die folgenden GKE-Versionen haben wurde mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie automatische Knotenupgrades aktiviert haben, Folgendes zu tun: manuell umstellen Cluster- und Container-Optimized OS-Knotenpools auf einen der folgenden GKE-Versionen oder höher:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Wir aktualisieren GKE mit Code, um diese Sicherheitslücke zu beheben. Wir aktualisieren diese wenn Patchversionen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten unter Umständen vollen Zugriff auf das Knotendateisystem.

Wie gehe ich am besten vor?

Update vom 06.03.2024: Die folgenden Versionen von GKE on VMware haben mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

• 1.28.200
• 1.16.6
• 1.15.9

Patchversionen und eine Bewertung des Schweregrads für GKE on VMware sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten unter Umständen vollen Zugriff auf das Knotendateisystem.

Wie gehe ich am besten vor?

Update vom 06.05.2024: Die folgenden Versionen von GKE on AWS haben mit Patches für CVE-2024-21626 aktualisiert:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Patchversionen und eine Bewertung des Schweregrads für GKE on AWS sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten unter Umständen vollen Zugriff auf das Knotendateisystem.

Wie gehe ich am besten vor?

Update vom 06.05.2024: Die folgenden Versionen von GKE on Azure haben mit Patches für CVE-2024-21626 aktualisiert:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Patchversionen und eine Bewertung des Schweregrads für GKE on Azure sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Die Sicherheitslücke CVE-2024-21626 wurde in runc entdeckt, wobei kann ein Nutzer mit der Berechtigung zum Erstellen von Pods unter Umständen vollen Zugriff auf das Knotendateisystem erhalten.

Wie gehe ich am besten vor?

Update vom 02.04.2024: Die folgenden Versionen von GKE on Bare Metal haben mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Patchversionen und eine Bewertung des Schweregrads für GKE on Bare Metal sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods In runc Versionen vor den in dieser Version veröffentlichten Patches Sicherheitsbulletin haben, wurden versehentlich mehrere Dateideskriptoren in den runc init-Prozess, der in einem Container ausgeführt wird. runc hat das auch getan nicht überprüfen, ob sich das endgültige Arbeitsverzeichnis eines Containers in der Containerbereitstellung befand -Namespace auf sie zugegriffen werden. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung, beliebige Pods auszuführen könnte eine Kombination aus den gehackten Dateideskriptoren und dem fehlenden Arbeitsverzeichnis sein. Validierung, um Zugriff auf den Hostbereitstellungs-Namespace eines Knotens und auf den gesamten Host zu erhalten Dateisystem zu erstellen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6817

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 07.02.2024:Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6817

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6817

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6817

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-6817

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Update vom 26.01.2024: Sicherheitsforschung, bei der eine geringe Anzahl von GKE-Cluster mit einer vom Kunden erstellten Fehlkonfiguration mit Die Gruppe system:authenticated wurde veröffentlicht. Blog der Forschenden post bezieht sich auf 1.300 Cluster mit einigen falsch konfigurierten Bindungen und 108 Cluster mit hohen Berechtigungen. Wir haben eng mit den betroffenen Kunden zusammengearbeitet, um sie zu benachrichtigen und Entfernen der falsch konfigurierten Bindungen.

Es wurden mehrere Cluster identifiziert, in denen Nutzer Kubernetes Berechtigungen für die Gruppe system:authenticated, die alle Nutzer mit einem Google-Konto. Diese Bindungstypen sind nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen sehr großen Nutzergruppen zugänglich machen. Weitere Informationen finden Sie unter „Was sollte ich tun?“. für wie Sie solche Bindungen finden.

Ein Sicherheitsforscher hat kürzlich Ergebnisse von Clustern mit RBAC gemeldet. über unser Programm zur Meldung von Sicherheitslücken.

Der Ansatz von Google zur Authentifizierung besteht darin, die Authentifizierung bei Google Cloud GKE so einfach und sicher wie möglich, ohne komplexe Konfigurationsschritte hinzuzufügen. Bei der Authentifizierung erfahren wir nur, wer der Nutzer ist. Autorisierung ist in denen der Zugriff festgelegt wird. Die Gruppe system:authenticated in Die GKE mit allen Nutzern, die über den Identitätsanbieter von Google authentifiziert wurden, ist wie vorgesehen und funktioniert genauso wie der IAM die ID „allAuthenticatedUsers“.

Vor diesem Hintergrund haben wir verschiedene Maßnahmen ergriffen, um das Risiko Es treten Autorisierungsfehler bei den Nutzern in Kubernetes auf. Gruppen, darunter system:anonymous, system:authenticated und system:unauthenticated. Alle dieser Nutzer/Gruppen stellen ein Risiko für den Cluster dar, wenn Berechtigungen gewährt werden. Mi. einige der Angreiferaktivitäten, die auf RBAC-Fehlkonfigurationen abzielen, Abwehrmaßnahmen auf Kubecon im November 2023.

Zum Schutz der Nutzer vor versehentlichen Autorisierungsfehlern mit diesen Systemen Nutzer/Gruppen haben wir:

• Von standardmäßig blockierte neue Bindungen der hochprivilegierten ClusterRole cluster-admin an Nutzer system:anonymous, Gruppe system:authenticated oder Gruppe system:unauthenticated in GKE-Version 1.28.
• Erkennungsregeln in Ereignis- Bedrohungserkennung (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) als Teil von Security Command Center.
• Konfigurierbare Präventionsregeln in Policy Controller mit K8sRestrictRoleBindings integriert.
• E-Mail-Benachrichtigungen an alle GKE-Nutzer mit Bindungen an diese Nutzer/Gruppen bitten, ihre Konfiguration zu überprüfen.
• Es wurden Funktionen zur Netzwerkautorisierung gebaut und und Empfehlungen, den Netzwerkzugriff als erste Ebene der Verteidigung.
• Sensibilisierung für dieses Problem durch ein Vortrag bei Kubecon im November 2023.

Cluster, die autorisierte Cluster anwenden Netzwerkeinschränkungen haben eine erste Schutzschicht: Sie können nicht angegriffen werden. direkt aus dem Internet. Wir empfehlen jedoch trotzdem, diese Bindungen Gestaffelte Sicherheitsebenen und Schutz vor Fehlern in der Netzwerksteuerung
Es gibt eine Reihe von Fällen, in denen Bindungen an Kubernetes-Systemnutzer oder Gruppen bewusst verwendet werden, z.B. für kubeadm Bootstrapping, Rancher Dashboard und Bitnami versiegelten Secrets. Wir haben bei diesen Softwareanbietern bestätigt, dass diese Bindungen wie vorgesehen funktionieren.

Wir prüfen neue Möglichkeiten, wie wir Nutzer noch besser vor Nutzer-RBAC schützen können Fehlkonfigurationen mit diesen Systemnutzern/-gruppen durch Prävention und -Erkennung.

Wie gehe ich am besten vor?

Um neue Bindungen von cluster-admin an den Nutzer zu verhindern system:anonymous, Gruppe system:authenticated oder Gruppe system:unauthenticated-Nutzer können ein Upgrade auf GKE v1.28 oder später (Release Hinweise), wobei das Erstellen dieser Bindungen blockiert ist.

Vorhandene Bindungen sollten nach dieser Anleitung.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

• CVE-2023-6111

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

• CVE-2023-6111

Wie gehe ich am besten vor?

Update vom 20.02.2024:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch: 1.28.100

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

• CVE-2023-6111

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

• CVE-2023-6111

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.

• CVE-2023-6111

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3609

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3609

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3609

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3609

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3609

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3389

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3389

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3389

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3389

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3389

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3090

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, möglicherweise aber angreifbar, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3090

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3090

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3090

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3090

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3390

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.4-gke.400
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3390

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3390

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3390

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3390

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Ein Angreifer, der den Fluent-Bit-Logging-Container manipuliert hat, könnte dies kombinieren Zugriff mit hohen Berechtigungen, die für Cloud Service Mesh erforderlich sind (bei Clustern, aktiviert), um die Berechtigungen im Cluster auszuweiten. Die Probleme mit Fluent Bit und Cloud Service Mesh wurde gemindert und Fehlerkorrekturen sind jetzt verfügbar. Diese Sicherheitslücken sind in GKE nicht ausnutzbar und erfordern eine anfängliche Manipulation. Uns sind keine Fälle bekannt, in denen diese Schwachstellen ausgenutzt werden.

Diese Probleme wurden über unser Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken):

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code zur Fehlerbehebung aktualisiert Sicherheitslücken in Fluent Bit und für Nutzer des verwalteten Cloud Service Mesh. Für aus Sicherheitsgründen empfehlen wir, auch wenn automatische Knotenupgrades aktiviert sind, ich manuell umstellen Ihren Cluster und Ihre Knotenpools auf eine der folgenden GKE-Versionen oder später:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Eine neue Funktion von Release-Kanäle kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Dadurch können sichern Sie Ihre Knoten, bis die neue Version zum Standard für Ihr spezifisches Release-Version

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuelles Upgrade auf eine der folgenden die folgenden Versionen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der Sicherheitslücken, die in diesem Bulletin behoben werden, muss ein Angreifer Fließender Bit-Logging-Container. Wir kennen keine Sicherheitslücken in Fließendes Bit, was zu dieser Voraussetzung für die Rechteausweitung führen würde. Diese Sicherheitslücken haben wir zur Absicherung vollständige Angriffskette

GKE verwendet Fluent Bit, um Logs für Arbeitslasten zu verarbeiten, die in Clustern ausgeführt werden. Fluent Bit on GKE wurde auch so konfiguriert, Cloud Run-Arbeitslasten. Die Volume-Bereitstellung, die zum Erfassen dieser Logs konfiguriert ist Fluent Bit-Zugriff auf Kubernetes-Dienstkonto-Tokens für andere Pods, die auf dem Knoten. Das Forschungsteam hat diesen Zugriff genutzt, um ein Dienstkonto mit umfangreichen Berechtigungen zu finden. Token für Cluster, für die Cloud Service Mesh aktiviert ist.

Cloud Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forscher nutzten das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh, um eskalieren Sie die ursprünglichen manipulierten Berechtigungen, indem Sie einen neuen Pod mit Clusteradministratorberechtigungen

Wir haben den Zugriff von Fluent Bit auf die Dienstkonto-Tokens entfernt und Die Funktionalität des Cloud Service Mesh wurde umgestaltet, um nicht erforderliche Berechtigungen zu entfernen.

Nur GKE on VMware-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuelles Upgrade auf eine der folgenden Versionen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der in diesem Bulletin angesprochenen Sicherheitslücken muss der Angreifer entweder einen Container kompromittieren, den Ausstieg aus einem Container ausnutzen oder Root auf einem Clusterknoten haben. Mi. keine Sicherheitslücken kennen, die diese Voraussetzung erfüllen, Bedingung für die Rechteausweitung. Wir haben diese Sicherheitslücken um eine potenzielle vollständige Angriffskette zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forschenden das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh zur Eskalierung indem Sie einen neuen Pod mit der Berechtigung „cluster-admin“ erstellen.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen.

Nur GKE on AWS-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuell umstellen auf eine der folgenden Versionen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der in diesem Bulletin angesprochenen Sicherheitslücken muss der Angreifer entweder einen Container kompromittieren, den Ausstieg aus einem Container ausnutzen oder Root auf einem Clusterknoten haben. Wir sind keine Kenntnis von bestehenden Sicherheitslücken, die diese Voraussetzung erfüllen würden zur Rechteausweitung. Wir haben diese Sicherheitslücken um eine potenzielle vollständige Angriffskette zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forschenden das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh zur Eskalierung indem Sie einen neuen Pod mit der Berechtigung „cluster-admin“ erstellen.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen.

Nur GKE in Azure-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuell umstellen auf eine der folgenden Versionen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der in diesem Bulletin angesprochenen Sicherheitslücken muss der Angreifer entweder einen Container kompromittieren, den Ausstieg aus einem Container ausnutzen oder Root auf einem Clusterknoten haben. Wir sind keine Kenntnis von bestehenden Sicherheitslücken, die diese Voraussetzung erfüllen würden zur Rechteausweitung. Wir haben diese Sicherheitslücken um eine potenzielle vollständige Angriffskette zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forschenden das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh zur Eskalierung indem Sie einen neuen Pod mit der Berechtigung „cluster-admin“ erstellen.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen.

Nur GKE on Bare Metal-Cluster mit Cloud Service Mesh sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie manuelles Upgrade auf eine der folgenden Versionen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Aufgrund der in diesem Bulletin angesprochenen Sicherheitslücken muss der Angreifer entweder einen Container kompromittieren, den Ausstieg aus einem Container ausnutzen oder Root auf einem Clusterknoten haben. Wir sind keine Kenntnis von bestehenden Sicherheitslücken, die diese Voraussetzung erfüllen würden zur Rechteausweitung. Wir haben diese Sicherheitslücken um eine potenzielle vollständige Angriffskette zu verhindern.

Anthos Service Mesh erforderte hohe Berechtigungen, um notwendige Änderungen an einem Konfiguration des Clusters, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Die Forschenden das privilegierte Kubernetes-Dienstkonto-Token von Cloud Service Mesh zur Eskalierung indem Sie einen neuen Pod mit der Berechtigung „cluster-admin“ erstellen.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5717

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 22.01.2024: Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5717

Wie gehe ich am besten vor?

Update vom 04.03.2024: die folgenden Versionen von GKE on VMware mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Cluster upgraden auf die folgenden Versionen oder höher:

• 1.28.200
• 1.16.5
• 1.15.8

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5717

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5717

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5717

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5197

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihr Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5197

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5197

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5197

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-5197

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4147

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster sind nicht betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 15.11.2023: Du musst nur auf eine der Patchversionen aktualisieren. die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Beispiel: Wenn Sie die GKE-Version 1.27 verwenden, sollten Sie ein Upgrade auf die entsprechende Patchversion Version. Wenn Sie jedoch die GKE-Version 1.24 verwenden, ist kein Upgrade auf eine Patchversion.

Aktualisieren Sie Ihr Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster gleich ausgeführt wird Nebenversion in ihrer eigenen Release-Version. Mit dieser Funktion können Sie Knoten sichern, bis wird die Patchversion zum Standard in Ihrer Release-Version. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4147

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4147

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4147

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4147

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4004

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 05.12.2023 : Einige GKE-Versionen wurden zuvor fehlen. Im Folgenden finden Sie eine aktualisierte Liste der GKE-Versionen, die Sie Aktualisieren Sie Ihr Container-Optimized OS auf Folgendes:

• 1.24.17-gke.200 oder höher
• 1.25.13-gke.200 oder höher
• 1.26.8-gke.200 oder höher
• 1.27.4-gke.2300 oder höher
• 1.28.1-gke.1257000 oder höher

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4004

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4004

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4004

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4004

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4921

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4921

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4921

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4921

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4015

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.27.5-gke.1647000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4015

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4015

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4015

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4015

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3777

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN erlauben. GKE Sandbox-Arbeitslasten sind ebenfalls nicht betroffen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3777

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3777

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3777

Wie gehe ich am besten vor?

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.

• CVE-2023-3777

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.11.2023:Wir haben neue Versionen von GKE mit den Go- und Kubernetes-Sicherheitspatches, die Sie können Sie Ihre Cluster jetzt auf „jetzt“ aktualisieren. In den kommenden Wochen werden wir weitere Änderungen an der GKE-Steuerungsebene vornehmen, um dieses Problem weiter zu verringern.

Die folgenden GKE-Versionen wurden mit Patches für CVE-2023-44487 und CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Wir empfehlen Ihnen, so schnell wie möglich die folgende Maßnahme anzuwenden und ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, aktualisieren wir dieses Bulletin mit einer Anleitung zur Aktualisierung Ihrer Steuerungsebene. Die Patches werden auch im GKE-Sicherheitsstatus sichtbar, wenn sie für Ihren Cluster verfügbar sind. Wenn du eine Pub/Sub-Benachrichtigung erhalten möchtest, sobald ein Patch für deinen Kanal verfügbar ist, aktiviere Clusterbenachrichtigungen.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Probleme durch das Konfigurieren autorisierter Netzwerke für den Zugriff auf die Steuerungsebene vermeiden:

Sie können autorisierte Netzwerke für vorhandene Cluster hinzufügen. Weitere Informationen finden Sie unter Autorisiertes Netzwerk für vorhandene Cluster.

Zusätzlich zu den autorisierten Netzwerken, die Sie hinzufügen, gibt es voreingestellte IP-Adressen, die auf die GKE-Steuerungsebene zugreifen können. Weitere Informationen zu diesen Adressen finden Sie unter Zugriff auf Endpunkte der Steuerungsebene. Im Folgenden wird die Clusterisolation zusammengefasst:

• Private Cluster mit --master-authorized-networks und PSC-basierten Clustern mit konfiguriertem --master-authorized-networks und --no-enable-google-cloud sind am isoliertsten.
• Öffentliche Legacy-Cluster mit --master-authorized-networks und PSC-basierten Clustern mit konfiguriertem --master-authorized-networks und --enable-google-cloud (Standardeinstellung) sind zusätzlich über Folgendes zugänglich: <ph type="x-smartling-placeholder">
  </ph>
  • Öffentliche IP-Adressen aller Compute Engine-VMs in Google Cloud
  • IP-Adressen der Google Cloud Platform

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der GKE-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on VMware erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Update vom 14.02.2024 : Die folgenden Versionen von GKE on VMware mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Cluster auf Folgendes durch: Patchversionen oder höher:

• 1.28.100
• 1.16.6
• 1.15.8

Wenn Sie Ihre GKE on VMware-Kubernetes-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on AWS erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Update vom 20.03.2024:Die folgenden GKE on AWS-Versionen wurden mit Patches für CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Wenn Sie GKE on AWS für direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke konfiguriert haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on Azure erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Update vom 20.03.2024:Die folgenden GKE on Azure-Versionen wurden mit Patches für CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Wenn Sie Ihre GKE on Azure-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. Anthos on Bare Metal erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Wenn Sie Ihre Kubernetes-Cluster für Anthos on Bare Metal so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Weitere Informationen finden Sie in der Übersicht zur Sicherheit von GKE on Bare Metal.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

GKE-Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert eine Sicherheitslücke. Aus Sicherheitsgründen gilt: Selbst wenn automatische Knotenupgrades aktiviert sind, empfehlen Ihnen, manuelle Umstellung Ihres Cluster- und Knotenpools auf eine der folgenden GKE-Versionen:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Die GKE-Steuerungsebene wird in der Woche vom 04.09.2023 aktualisiert, um die csi-proxy auf Version 1.1.3. Wenn Sie die Knoten vor dem Aktualisieren der Steuerungsebene aktualisieren, müssen Sie Ihre Knoten nach der Aktualisierung erneut aktualisieren, um die neuen Proxy. Sie können die Knoten wieder aktualisieren, auch ohne die Knotenversion zu ändern, indem Sie den folgenden Befehl ausführen: den Befehl gcloud container clusters upgrade und übergeben Sie den Flag --cluster-version mit derselben GKE-Version wie der Knoten Pool wird bereits ausgeführt. Für diese Problemumgehung müssen Sie die gcloud CLI verwenden. Beachten Sie, dass dadurch unabhängig von Wartungsfenstern.

Eine neue Funktion von Release-Kanäle kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Knoten sichern, bis die neue Version zum Standard für Ihr spezifisches Release-Version.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet weist keine Eingabebereinigung auf und besteht an den Befehls-Executor als Argument, wo Teile der als separate Befehle verwenden. Diese Befehle würden mit denselben administrativen Berechtigungen wie Kubelet.

Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Berechtigung, Code auszuführen auf derselben Berechtigungsebene wie der Kubelet-Agent, privilegierte Berechtigungen.

Wie bei CVE-2023-3893 können Nutzer, die Pods erstellen können, auch ohne Eingabebereinigung Windows-Knoten, auf denen kubernetes-csi-proxy ausgeführt wird, um an Administratorberechtigungen für diese Knoten zu eskalieren.

Kubernetes-Audit-Logs können verwendet werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wird. Pod create-Ereignisse mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods sind auch ein starker Hinweis auf Ausnutzung.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet weist keine Eingabebereinigung auf und besteht an den Befehls-Executor als Argument, wo Teile der als separate Befehle verwenden. Diese Befehle würden mit denselben administrativen Berechtigungen wie Kubelet.

Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Berechtigung, Code auszuführen auf derselben Berechtigungsebene wie der Kubelet-Agent, privilegierte Berechtigungen.

Wie bei CVE-2023-3893 können Nutzer, die Pods erstellen können, auch ohne Eingabebereinigung Windows-Knoten, auf denen kubernetes-csi-proxy ausgeführt wird, um an Administratorberechtigungen für diese Knoten zu eskalieren.

Kubernetes-Audit-Logs können verwendet werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wird. Pod create-Ereignisse mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods sind auch ein starker Hinweis auf Ausnutzung.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on AWS ist von diesen CVEs nicht betroffen. Sie müssen nichts unternehmen.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on Azure ist von diesen CVEs nicht betroffen. Sie müssen nichts unternehmen.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von diesen CVEs nicht betroffen. Sie müssen nichts unternehmen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. Betroffen sind GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden.

GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images bzw. Versionen vor 1.25 ausführen oder GKE Sandbox verwenden.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2235 hat die Funktion perf_group_associate nicht die gleichgeordneten Elemente des Ereignisses überprüft. „attach_state“ vor dem Aufrufen von „add_event_to_groups()“, aber „remove_on_exec“ ermöglichte es, „list_del_event()“ vor dem Trennen der Gruppe von der Gruppe aufzurufen. So konnte ein deprimierender Zeiger verwendet werden, der eine Sicherheitslücke nach dem Prinzip „Use-After-Free“ verursachte.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2235 hat die Funktion perf_group_associate nicht die gleichgeordneten Elemente des Ereignisses überprüft. „attach_state“ vor dem Aufrufen von „add_event_to_groups()“, aber „remove_on_exec“ ermöglichte es, „list_del_event()“ vor dem Trennen der Gruppe von der Gruppe aufzurufen. So konnte ein deprimierender Zeiger verwendet werden, der eine Sicherheitslücke nach dem Prinzip „Use-After-Free“ verursachte.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-2235 hat die Funktion perf_group_associate nicht die gleichgeordneten Elemente des Ereignisses überprüft. „attach_state“ vor dem Aufrufen von „add_event_to_groups()“, aber „remove_on_exec“ ermöglichte es, „list_del_event()“ vor dem Trennen der Gruppe von der Gruppe aufzurufen. So konnte ein deprimierender Zeiger verwendet werden, der eine Sicherheitslücke nach dem Prinzip „Use-After-Free“ verursachte.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-2235 hat die Funktion perf_group_associate nicht die gleichgeordneten Elemente des Ereignisses überprüft. „attach_state“ vor dem Aufrufen von „add_event_to_groups()“, aber „remove_on_exec“ ermöglichte es, „list_del_event()“ vor dem Trennen der Gruppe von der Gruppe aufzurufen. So konnte ein deprimierender Zeiger verwendet werden, der eine Sicherheitslücke nach dem Prinzip „Use-After-Free“ verursachte.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 11. Juli 2023:Ubuntu-Patchversionen sind verfügbar.

Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neueste Ubuntu-Version Versionen, die CVE-2023-31436 patchen:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-31436 wurde im Traffic Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den Speicherzugriff außerhalb des Grenzwerts gefunden, nämlich wie ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-31436 wurde im Traffic Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den Speicherzugriff außerhalb des Grenzwerts gefunden, nämlich wie ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-31436 wurde im Traffic Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den Speicherzugriff außerhalb des Grenzwerts gefunden, nämlich wie ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-31436 wurde im Traffic Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den Speicherzugriff außerhalb des Grenzwerts gefunden, nämlich wie ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen.

In Envoy, das in Cloud Service Mesh verwendet wird, wurden eine Reihe von Sicherheitslücken entdeckt (ASM). Diese wurden separat als GCP-2023-002:

GKE wird nicht mit ASM ausgeliefert und ist nicht von diesen Sicherheitslücken betroffen.

Wie gehe ich am besten vor?

Wenn Sie ASM für Ihre GKE-Cluster separat installiert haben, finden Sie weitere Informationen unter GCP-2023-002:

Mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), wurden in Envoy gefunden, das im Cloud Service Mesh in GKE on VMware, wodurch böswillige Angreifer einen Denial of Service oder einen Absturz von Envoy verursachen. Diese wurden separat als GCP-2023-002, aber wir möchten sicherstellen, dass GKE Enterprise-Kunden aktualisieren ihre Versionen, die ASM enthalten.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um dieses Problem zu beheben eine Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf einen der folgenden GKE on VMware-Versionen:

• 1.13.8
• 1.14.5
• 1.15.1

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, wird ein schädlicher Akteur könnte eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt.

CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, ext_authz verwendet wird.

CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten die mit Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats.

CVE-2023-27492: Angreifer können große Anfragetexte für Routen mit dem Lua-Filter senden und Abstürze auslösen.

CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen an folgende Adresse senden: lösen Parsing-Fehler im HTTP/1-Upstream-Dienst aus.

CVE-2023-27487: Der Header x-envoy-original-path muss ein interner sein -Header, aber Envoy entfernt diesen Header nicht aus der Anfrage am Anfang Anfrageverarbeitung, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), wurden in Envoy gefunden, das in Cloud Service Mesh verwendet. Diese wurden separat als GCP-2023-002:

GKE on AWS wird nicht mit ASM ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen.

Mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), wurden in Envoy gefunden, das in Cloud Service Mesh verwendet. Diese wurden separat als GCP-2023-002:

GKE on Azure wird nicht mit ASM ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen.

Mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), wurden in Envoy gefunden, das im Cloud Service Mesh in GKE on Bare Metal verwendet, einen Denial of Service oder einen Absturz von Envoy verursachen. Diese wurden separat als GCP-2023-002, aber wir möchten sicherstellen, dass GKE Enterprise-Kunden aktualisieren ihre Versionen, die ASM enthalten.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on Bare Metal-Versionen:

• 1.13.9
• 1.14.6
• 1.15.2

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, wird ein schädlicher Akteur könnte eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt.

CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, ext_authz verwendet wird.

CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten die mit Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats.

CVE-2023-27492: Angreifer können große Anfragetexte für Routen mit dem Lua-Filter senden und Abstürze auslösen.

CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen an folgende Adresse senden: lösen Parsing-Fehler im HTTP/1-Upstream-Dienst aus.

CVE-2023-27487: Der Header x-envoy-original-path muss ein interner sein -Header, aber Envoy entfernt diesen Header nicht aus der Anfrage am Anfang Anfrageverarbeitung, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

In CVE-2023-0468 wurde in io_uring/poll.c in io_poll_check_events in der Unterkomponente io_uring im Linux-Kernel ein „Use-After-Free“-Fehler gefunden. Dieser Fehler kann zu einer Dereferenzierung des NULL-Zeigers und zu einem Systemabsturz führen, der zu einem Denial of Service führt.

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on VMware verwendet Version 5.4 des Linux-Kernels und ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

• Es sind keine Maßnahmen erforderlich.

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on AWS ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

• Es sind keine Maßnahmen erforderlich.

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on Azure ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

• Es sind keine Maßnahmen erforderlich.

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

• Es sind keine Maßnahmen erforderlich.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.

GKE verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden. Anthos auf VMware verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.

Alle Versionen von Anthos on VMware sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durch:

• 1.13.10
• 1.14.6
• 1.15.3

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.
Anthos on AWS verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on AWS sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgende Version von GKE on AWS wurde mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on AWS-Version durch:

• 1.15.2

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.
Anthos on Azure verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on Azure sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgende Version von GKE on Azure wurde mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on Azure-Version durch:

• 1.15.2

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.
Anthos on Bare Metal verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on Bare Metal sind möglicherweise anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal durch:

• 1.13.9
• 1.14.7
• 1.15.3

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE ist zwar nicht betroffen, aber wenn Sie die Komponente "secrets-store-csi-driver" installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on VMware ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on VMware ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on AWS ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on AWS ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on Azure ist von dieser CVE nicht betroffen

Wie gehe ich am besten vor?

GKE on Azure ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on Bare Metal ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben:

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert:

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

GKE on Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. GKE Standard-Cluster sind betroffen.

GKE Autopilot-Cluster und -Cluster mit GKE Sandbox sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 06.06.2023:Ubuntu-Patchversionen sind verfügbar.

Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 patchen:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion „tcindex_delete“ nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion „tcindex_delete“ nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion „tcindex_delete“ nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion „tcindex_delete“ nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

GKE on Bare Metal ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE-Cluster, einschließlich Autopilot-Cluster, mit COS unter Verwendung von Die Linux-Kernel-Version 5.10 bis 5.10.162 ist betroffen. GKE-Cluster mit Ubuntu-Images oder die Verwendung von GKE Sandbox sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code zur Behebung dieser Probleme aktualisiert Sicherheitslücken. Aus Sicherheitsgründen gilt: Selbst wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen, dass Sie Ihre Knotenpools manuell auf einen der folgenden Typen aktualisieren GKE-Versionen:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Eine neue Funktion von Release-Kanälen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release wird Kanal.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sicherheitslücke 1 (CVE-2023-0240): Ein Race-Bedingung in io_uring kann zu einem Durchbrechen des vollständigen Containers in das Stammverzeichnis des Knotens. Linux-Kernel-Versionen 5.10 sind betroffen bis zum 10.05.162.

Sicherheitslücke 2 (CVE-2023-23586): Die Verwendung nach der kostenlosen Nutzung (UAF) in io_uring/time_ns kann führen einen vollständigen Container-Ausstieg zum Stamm auf dem Knoten. Die Linux-Kernel-Versionen 5.10 sind bis zum 10.05.162.

Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE on VMware-Cluster mit COS unter Verwendung der Linux-Kernel-Version 5.10 bis 5.10.162 betroffen sind. GKE Enterprise-Cluster, die Ubuntu-Images verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code zur Fehlerbehebung aktualisiert diese Sicherheitslücken:

• 1.12.6
• 1.13.5

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sicherheitslücke 1 (CVE-2023-0240): Ein Race-Bedingung in io_uring kann zu einem vollständigen den Container in das Stammverzeichnis des Knotens ausbrechen. Linux-Kernel-Versionen 5.10 sind betroffen bis zum 10.05.162.

Sicherheitslücke 2 (CVE-2023-23586): Die Verwendung nach der kostenlosen Version (UAF) in io_uring/time_ns kann zu einer Durchbrechen des vollständigen Containers in das Stammverzeichnis des Knotens. Linux-Kernel-Versionen 5.10 sind betroffen bis zum 10.05.162.

Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE on AWS ist von diesen CVEs nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE on Azure ist von diesen CVEs nicht betroffen

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Die beiden neuen Sicherheitslücken CVE-2023-0240 und CVE-2023-23586 wurden im Linux-Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, Berechtigungen auszuweiten GKE on Bare Metal ist von diesen CVEs nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE-Cluster, einschließlich Autopilot-Cluster betroffen sind. GKE-Cluster mit GKE Sandbox sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert eine Sicherheitslücke. Aus Sicherheitsgründen gilt: Selbst wenn automatische Knotenupgrades aktiviert sind, empfehlen wir, ein manuelles Upgrade Ihre Cluster und Knotenpools auf eine der folgenden GKE-Versionen:

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

Eine neue Funktion von Release-Kanälen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release wird Kanal.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-4696 wurde in io_uring und ioring_op_splice in ein Use-After-Free-Fehler gefunden. den Linux-Kernel. Dadurch kann ein lokaler Nutzer eine lokale Rechteausweitung vornehmen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE on VMware mit v1.12 und Version 1.13. GKE on VMware mit Version 1.14 oder höher ist nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um dieses Problem zu beheben eine Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf einen der folgenden GKE on VMware-Versionen:

• 1.12.5
• 1.13.5

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-4696 wurde in io_uring und ioring_op_splice in ein Use-After-Free-Fehler gefunden. den Linux-Kernel. Dadurch kann ein lokaler Nutzer eine lokale Rechteausweitung vornehmen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE on AWS ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE on Azure ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen.

In OpenSSL wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden v3.0.6 installiert, die potenziell einen Absturz verursachen kann. Dieses Ereignis wurde im NVD als "Hoch" eingestuft. verwenden GKE-Endpunkte BoringSSL oder eine ältere Version von OpenSSL, ist nicht betroffen. Daher wurde die Bewertung für GKE auf "Medium" reduziert.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert Sicherheitslücke:

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

Eine neue Funktion von Veröffentlichung Mit Kanälen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-Version.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-3786 und CVE-2022-3602 kann im X.509-Zertifikat ein Pufferüberlauf ausgelöst werden. die einen Absturz verursachen kann, der zu einer Dienstverweigerung führt. To be ausgenutzt, muss eine Zertifizierungsstelle ein schädliches Zertifikat oder dass eine Anwendung die Zertifikatsüberprüfung fortfahren kann, obwohl es gescheitert ist, Pfad zu einem vertrauenswürdigen Aussteller.

In OpenSSL v3.0.6, die potenziell einen Absturz verursachen kann.

Wie gehe ich am besten vor?

GKE on VMware ist von dieser CVE nicht betroffen, da keine betroffene Version verwendet wird von OpenSSL.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Es sind keine weiteren Schritte erforderlich.

In OpenSSL v3.0.6, die potenziell einen Absturz verursachen kann.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser CVE nicht betroffen, da keine betroffene Version verwendet wird von OpenSSL.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Es sind keine weiteren Schritte erforderlich.

In OpenSSL v3.0.6, die potenziell einen Absturz verursachen kann.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser CVE nicht betroffen, da keine betroffene Version verwendet wird von OpenSSL.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Es sind keine weiteren Schritte erforderlich.

In OpenSSL v3.0.6, die potenziell einen Absturz verursachen kann.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von dieser CVE nicht betroffen, da keine betroffene Version verwendet wird von OpenSSL.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Es sind keine weiteren Schritte erforderlich.

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.

Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert Sicherheitslücke in einem zukünftigen Release. Aus Sicherheitsgründen gilt, auch wenn Sie Knoten aktiviert ist, empfehlen wir Ihnen, manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

• Container-Optimized OS:
  • 1.22.16-gke.1300 und höher
  • 1.23.14-gke.401 und höher
  • 1.24.7-gke.900 und höher
  • 1.25.4-gke.1600 und höher
• Ubuntu:
• 1.22.15-gke.2500 und höher
• 1.23.13-gke.900 und höher
• 1.24.7-gke.900 und höher
• 1.25.3-gke.800 und höher

Eine neue Funktion von Release-Kanälen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release wird Kanal.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-2602, einer Race-Bedingung zwischen der Anfrageverarbeitung io_uring und Unix-Socket Die automatische Speicherbereinigung kann zu einer Sicherheitslücke im Rahmen von Use-After-Free führen. Ein lokaler Angreifer könnte um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können

Die Versionen 1.11, 1.12 und 1.13 von GKE on VMware sind betroffen.

Wie gehe ich am besten vor?

Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden Versionen von GKE on VMware enthält Code, der diese Sicherheitslücke behebt:

• 1.13.2
• 1.12.4
• 1.11.5

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-2602, einer Race-Bedingung zwischen der Anfrageverarbeitung io_uring und Unix-Socket Die automatische Speicherbereinigung kann zu einer Sicherheitslücke im Rahmen von Use-After-Free führen. Ein lokaler Angreifer könnte um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können

Wie gehe ich am besten vor?

Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

• Aktuelle Generation:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• Vorherige Generation:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-2602, einer Race-Bedingung zwischen der Anfrageverarbeitung io_uring und Unix-Socket Die automatische Speicherbereinigung kann zu einer Sicherheitslücke im Rahmen von Use-After-Free führen. Ein lokaler Angreifer könnte um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Azure wurden mit Code zur Fehlerbehebung aktualisiert für diese Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden Versionen: Versionen von GKE on Azure:

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-2602, einer Race-Bedingung zwischen der Anfrageverarbeitung io_uring und Unix-Socket Die automatische Speicherbereinigung kann zu einer Sicherheitslücke im Rahmen von Use-After-Free führen. Ein lokaler Angreifer könnte um einen Denial-of-Service-Angriff auszulösen oder möglicherweise beliebigen Code auszuführen.

Eine neue Sicherheitslücke (CVE-2022-2602) wurde im Subsystem io_uring in der Linux-Kernel, mit dem Angreifer potenziell beliebigen Code ausführen können

GKE on Bare Metal ist von dieser CVE nicht betroffen, da sie nicht gebündelt ist in seiner Distribution enthalten ist.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.

Aktualisierung vom 16.12.2022: Eine frühere Version des Bulletins wurde aufgrund einer Regression der Release-Version überarbeitet. Bitte manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

• 1.22.16-gke.1300 und höher
• 1.23.14-gke.401 und höher
• 1.24.7-gke.900 und höher
• 1.25.4-gke.1600 und höher

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Für aus Sicherheitsgründen empfehlen wir die manuelle Aktualisierung von Knoten, Führen Sie ein Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durch:

• 1.21.14-gke.9500
• 1.24.7-gke.900

Updates für GKE v1.22, 1.23 und 1.25 sind demnächst verfügbar. Dieses Sicherheitsbulletin wird aktualisiert, sobald sie verfügbar sind.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.
• Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

Die Versionen 1.13, 1.12 und 1.11 von GKE on VMware sind betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 16.12.2022:Die folgenden Versionen von GKE on VMware wurde mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen, dass Sie Ihre Administrator- und Nutzercluster auf einen der folgenden Dienste upgraden Versionen von GKE on VMware:

• 1.13.2
• 1.12.4
• 1.11.6

• Hinweis: Versionen von GKE on VMware, die Container-Optimized OS-Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.
• Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

Die folgenden Versionen von Kubernetes on AWS können betroffen sein:

• 1.23: Versionen, die älter als 1.23.9-gke.800 sind Neuere Nebenversionen sind nicht betroffen
• 1.22: Versionen, die älter als 1.22.12-gke.1100 sind Neuere Nebenversionen sind nicht betroffen

Kubernetes V1.24 ist nicht betroffen.

Wie gehe ich am besten vor?

Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden AWS Kubernetes-Versionen:

• 1.23: eine Version nach v1.23.9-gke.800
• 1.22: eine Version nach 1.22.12-gke-1100

Welche Sicherheitslücken werden behoben?

Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.

Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

Die folgenden Versionen von Kubernetes in Azure können betroffen sein:

• 1.23: Versionen, die älter als 1.23.9-gke.800 sind Neuere Nebenversionen sind nicht betroffen.
• 1.22: Versionen, die älter als 1.22.12-gke.1100 sind Neuere Nebenversionen sind nicht betroffen.

Kubernetes V1.24 ist nicht betroffen.

Wie gehe ich am besten vor?

Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden Azure Kubernetes-Versionen:

• 1.23: eine Version nach v1.23.9-gke.800
• 1.22: eine Version nach 1.22.12-gke-1100

Welche Sicherheitslücken werden behoben?

Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.

Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden. Sie wird in Cloud Service Mesh, das es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen.

Wie gehe ich am besten vor?

Google Kubernetes Engine (GKE) wird nicht mit Istio ausgeliefert und ist nicht davon betroffen eine Sicherheitslücke. Wenn Sie jedoch Cloud Service Mesh oder Istio separat auf Ihrem GKE-Cluster, siehe GCP-2022-020 das Cloud Service Mesh-Sicherheitsbulletin zu diesem CVE.

In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden und verwendet, in Cloud Service Mesh in GKE on VMware, mit dem böswillige Angreifer Istio-Steuerungsebene.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um dieses Problem zu beheben eine Sicherheitslücke. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf einen der folgenden GKE on VMware-Versionen:

• 1.11.4
• 1.12.3
• 1.13.1

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene istiod anfällig für Fehler bei der Anfrageverarbeitung sind, sodass Angreifer eine spezielle Nachricht, die dazu führt, dass die Steuerungsebene abstürzt, Der validierte Webhook für einen Cluster ist öffentlich verfügbar. Dieser Endpunkt wird über TLS bereitgestellt Port 15017, erfordert jedoch keine Authentifizierung durch den Angreifer.

In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden und verwendet, in Cloud Service Mesh, wodurch böswillige Angreifer die Steuerungsebene zum Absturz bringen können.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser Sicherheitslücke nicht betroffen und es sind keine Maßnahmen erforderlich.

In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden und verwendet, in Cloud Service Mesh, wodurch böswillige Angreifer die Steuerungsebene zum Absturz bringen können.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser Sicherheitslücke nicht betroffen und es werden keine Maßnahmen ergriffen. erforderlich.

In Istio wurde eine Sicherheitslücke, CVE-2022-39278, gefunden und verwendet, in Cloud Service Mesh in GKE on Bare Metal ein, wodurch böswillige Angreifer um die Istio-Steuerungsebene zum Absturz zu bringen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade der Cluster auf einen der folgenden GKE on Bare Metal-Versionen:

• 1.11.7
• 1.12.4
• 1.13.1

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene istiod anfällig für Fehler bei der Anfrageverarbeitung sind, sodass Angreifer eine spezielle Nachricht, die dazu führt, dass die Steuerungsebene abstürzt, Der validierte Webhook für einen Cluster ist öffentlich verfügbar. Dieser Endpunkt wird über TLS bereitgestellt Port 15017, erfordert jedoch keine Authentifizierung durch den Angreifer.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, lokale Rechteausweitung. Google Kubernetes Engine (GKE) v1.22, v1.23 und v1.24 Cluster, einschließlich Autopilot-Cluster, die Container-Optimized OS verwenden Version 93 und 97 sind betroffen. Sonstige unterstützte GKE-Versionen sind davon nicht betroffen. GKE-Cluster mit GKE Sandbox sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 14.12.2022: Eine frühere Version des Bulletins wurde aufgrund einer Regression der Release-Version überarbeitet. Bitte manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

• 1.22.15-gke.2500 und höher
• 1.23.13-gke.900 und höher
• 1.24.7-gke.900 und höher

Die folgenden GKE-Versionen, die die Container-Optimized OS-Version verwenden 93 und 97 wurden mit Code aktualisiert, um diese Sicherheitslücke in einer zukünftigen Version zu beheben. Aus Sicherheitsgründen empfehlen wir Ihnen, auch wenn Sie automatische Knotenupgrades aktiviert haben, Folgendes zu tun: manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

• 1.22.15-gke.2300 und höher
• 1.23.13-gke.700 und höher
• 1.24.7-gke.700 und höher

Eine neue Funktion von Release-Kanäle kannst du einen Patch anwenden, ohne das Abo für einen Kanal beenden zu müssen. Mit dieser Funktion können Sie Knoten sichern, bis die neue Version zum Standard für Ihr Release-spezifisches wird Kanal.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring. Aufgrund eines Use-After-Free-Programms kann es zu Speicherbeschädigungen kommen (UAF). Mit dieser Speicherbeschädigung könnte ein lokaler Angreifer (Systemabsturz) oder beliebigen Code ausführen.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, lokale Rechteausweitung.

Wie gehe ich am besten vor?

Aktualisierung vom 14.12.2022:Folgende Versionen von GKE on VMware für Ubuntu wurde mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Anwendungen versions:

• 1.13.1 und höher
• 1.12.3 und höher
• 1.11.4 und höher

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring. Aufgrund eines Use-After-Free-Programms kann es zu Speicherbeschädigungen kommen (UAF). Mit dieser Speicherbeschädigung könnte ein lokaler Angreifer (Systemabsturz) oder beliebigen Code ausführen.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, Nicht privilegierten Nutzern erlauben, ihre Berechtigung zur Systemausführung zu übertragen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun. GKE on AWS verwendet nicht die betroffenen Versionen der Linux-Kernel.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring. Aufgrund eines Use-After-Free-Programms kann es zu Speicherbeschädigungen kommen (UAF). Mit dieser Speicherbeschädigung könnte ein lokaler Angreifer (Systemabsturz) oder beliebigen Code ausführen.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, Nicht privilegierten Nutzern erlauben, ihre Berechtigung zur Systemausführung zu übertragen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun. GKE on Azure verwendet die betroffenen Versionen nicht des Linux-Kernels.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des io_uring. Aufgrund eines Use-After-Free-Programms kann es zu Speicherbeschädigungen kommen (UAF). Mit dieser Speicherbeschädigung könnte ein lokaler Angreifer (Systemabsturz) oder beliebigen Code ausführen.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt, lokale Rechteausweitung.

Wie gehe ich am besten vor?

• Sie müssen nichts weiter tun. GKE on Bare Metal ist davon nicht betroffen CVE enthält, da in seiner Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-3176 entdeckt, bis hin zur lokalen Rechteausweitung. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer vollständige Container-Breakouts zum Rooting auf dem Knoten.

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde „Autopilot“ angegeben. Cluster sind betroffen, aber das war falsch. GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen, könnten aber anfällig sein, wenn Sie explizit das Profil seccomp Unconfined oder CAP_NET_ADMIN zulassen.

Google Kubernetes Engine (GKE) v1.21-Cluster, einschließlich Autopilot-Cluster, mit Die Version 89 von Container-Optimized OS ist betroffen. Neuere GKE-Versionen sind davon nicht betroffen. Alle Linux-Cluster mit Ubuntu sind betroffen. GKE-Cluster GKE Sandbox nutzen nicht betroffen sind.

Wie gehe ich am besten vor?

Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.

Update vom 15.12.2022:Einführung von Version 1.21.14-gke.9400 steht aus und wird möglicherweise durch eine höhere Versionsnummer ersetzt werden. Wir werden dieses Dokument aktualisieren, sobald die neue Version verfügbar.

Die folgenden GKE-Versionen wurden mit Code zur Behebung dieses Problems aktualisiert Sicherheitslücke in einem zukünftigen Release. Aus Sicherheitsgründen gilt, auch wenn Sie Knoten aktiviert ist, empfehlen wir Ihnen, manuell umstellen Ihre Knotenpools auf eine der folgenden GKE-Versionen:

• Container-Optimized OS:
  • 1.21.14-gke.7100 und höher
• Ubuntu:
• 1.21.14-gke.9400 und höher
• 1.22.15-gke.2400 und höher
• 1.23.13-gke.800 und höher
• 1.24.7-gke.800 und höher
• 1.25.3-gke.700 und höher