이 페이지에서는 다음 제품의 모든 보안 게시판에 대해 설명합니다.
- Google Kubernetes Engine(GKE)
- VMware용 Google Distributed Cloud(소프트웨어 전용)
- AWS용 GKE
- Azure용 GKE
- 베어메탈용 Google Distributed Cloud(소프트웨어 전용)
취약점은 영향을 받는 당사자가 대처 방안을 마련할 때까지 엠바고에 따라 보안 비밀로 유지되는 경우가 많습니다. 이 경우 제품의 출시 노트에서 엠바고가 해제될 때까지 '보안 업데이트'로 지칭됩니다. 엠바고가 해제되면 패치가 해결한 취약점을 반영하여 출시 노트가 업데이트됩니다.
GKE가 클러스터 구성이나 버전과 직접 관련된 보안 게시판을 발행하면 취약점 및 취할 수 있는 조치(해당하는 경우)에 대한 정보를 제공하는 SecurityBulletinEvent
클러스터 알림을 전송할 수 있습니다. 클러스터 알림 설정은 클러스터 알림을 참조하세요.
Google이 GKE 및 GKE Enterprise의 보안 취약점과 패치를 관리하는 방법에 대한 자세한 내용은 보안 패치 적용을 참조하세요.
GKE 및 GKE Enterprise 플랫폼은 ingress-nginx
및 CRI-O 컨테이너 런타임과 같은 구성요소를 사용하지 않으며, 이러한 구성요소의 취약점에 영향을 받지 않습니다. 다른 소스에서 구성요소를 설치하는 경우 소스에서 해당 구성요소의 보안 업데이트 및 패치 도움말을 참조하세요.
이 XML 피드를 사용하여 이 페이지의 보안 게시판을 구독합니다.
GCP-2024-056
게시: 2024년 9월 27일
참조: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
GKE
설명 | 심각도 |
---|---|
일부 Linux 배포판에서 사용하는 CUPS 인쇄 시스템에서 원격 코드 실행을 초래할 수 있는 취약점 체인(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177)이 발견되었습니다. CUPS 서비스가 UDP 포트 631에서 리슨 중이고 공격자가 이 포트에 연결할 수 있는 경우 공격자가 이 취약점을 악용할 수 있습니다. GKE는 CUPS 인쇄 시스템을 사용하지 않으므로 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
GDC(VMware)
설명 | 심각도 |
---|---|
일부 Linux 배포판에서 사용하는 CUPS 인쇄 시스템에서 원격 코드 실행을 초래할 수 있는 취약점 체인(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177)이 발견되었습니다. CUPS 서비스가 UDP 포트 631에서 리슨 중이고 공격자가 이 포트에 연결할 수 있는 경우 공격자가 이 취약점을 익스플로잇할 수 있습니다. VMware용 GDC 소프트웨어는 CUPS 인쇄 시스템을 사용하지 않으므로 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
AWS용 GKE
설명 | 심각도 |
---|---|
일부 Linux 배포판에서 사용하는 CUPS 인쇄 시스템에서 원격 코드 실행을 초래할 수 있는 취약점 체인(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177)이 발견되었습니다. CUPS 서비스가 UDP 포트 631에서 리슨 중이고 공격자가 이 포트에 연결할 수 있는 경우 공격자가 이 취약점을 익스플로잇할 수 있습니다. AWS용 GKE는 CUPS 인쇄 시스템을 사용하지 않으므로 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
일부 Linux 배포판에서 사용하는 CUPS 인쇄 시스템에서 원격 코드 실행을 초래할 수 있는 취약점 체인(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177)이 발견되었습니다. CUPS 서비스가 UDP 포트 631에서 리슨 중이고 공격자가 이 포트에 연결할 수 있는 경우 공격자가 이 취약점을 익스플로잇할 수 있습니다. Azure용 GKE는 CUPS 인쇄 시스템을 사용하지 않으므로 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
일부 Linux 배포판에서 사용하는 CUPS 인쇄 시스템에서 원격 코드 실행을 초래할 수 있는 취약점 체인(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177)이 발견되었습니다. CUPS 서비스가 UDP 포트 631에서 리슨 중이고 공격자가 이 포트에 연결할 수 있는 경우 공격자가 이 취약점을 익스플로잇할 수 있습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
GCP-2024-054
게시: 2024년 9월 23일
참조: CVE-2024-5321
GKE
설명 | 심각도 |
---|---|
Windows 노드가 있는 Kubernetes 클러스터에서 Windows 노드가 있는 모든 Kubernetes 환경이 영향을 받습니다. 영향을 받는 GKE 버전
어떻게 해야 하나요?이 취약점을 해결하기 위해 다음 GKE 버전이 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.
클러스터가 자체 출시 채널에서 동일한 마이너 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. 해결되는 취약점은 무엇인가요?CVE-2024-5321 |
보통 |
GDC(VMware)
설명 | 심각도 |
---|---|
Windows 노드가 있는 Kubernetes 클러스터에서 Windows 노드가 있는 모든 Kubernetes 환경이 영향을 받습니다. 어떻게 해야 하나요?VMware용 GDC 소프트웨어의 패치 버전이 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다. 해결되는 취약점은 무엇인가요?CVE-2024-5321 |
보통 |
AWS용 GKE
설명 | 심각도 |
---|---|
Windows 노드가 있는 Kubernetes 클러스터에서 AWS용 GKE 클러스터는 Windows 노드를 지원하지 않으므로 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음
|
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Windows 노드가 있는 Kubernetes 클러스터에서 Azure용 GKE 클러스터는 Windows 노드를 지원하지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
Windows 노드가 있는 Kubernetes 클러스터에서 베어메탈 클러스터용 GDC 소프트웨어는 Windows 노드를 지원하지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
GCP-2024-050
게시: 2024년 9월 4일
참조: CVE-2024-38063
GKE
설명 | 심각도 |
---|---|
Windows에서 새로운 원격 코드 실행 취약점(CVE-2024-38063)이 발견되었습니다. 공격자는 특수하게 만들어진 IPv6 패킷을 호스트로 전송하여 이 취약점을 원격으로 악용할 수 있습니다. 어떻게 해야 하나요?GKE는 Windows에서 IPv6를 지원하지 않으며 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
GDC(VMware)
설명 | 심각도 |
---|---|
Windows에서 새로운 원격 코드 실행 취약점(CVE-2024-38063)이 발견되었습니다. 공격자는 특수하게 만들어진 IPv6 패킷을 호스트로 전송하여 이 취약점을 원격으로 악용할 수 있습니다. 어떻게 해야 하나요?VMware용 GDC 소프트웨어는 Windows에서 IPv6를 지원하지 않으며 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Windows에서 새로운 원격 코드 실행 취약점(CVE-2024-38063)이 발견되었습니다. 공격자는 특수하게 만들어진 IPv6 패킷을 호스트로 전송하여 이 취약점을 원격으로 악용할 수 있습니다. 어떻게 해야 하나요?AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Windows에서 새로운 원격 코드 실행 취약점(CVE-2024-38063)이 발견되었습니다. 공격자는 특수하게 만들어진 IPv6 패킷을 호스트로 전송하여 이 취약점을 원격으로 악용할 수 있습니다. 어떻게 해야 하나요?Azure 기반 GKE는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
Windows에서 새로운 원격 코드 실행 취약점(CVE-2024-38063)이 발견되었습니다. 공격자는 특수하게 만들어진 IPv6 패킷을 호스트로 전송하여 이 취약점을 원격으로 악용할 수 있습니다. 어떻게 해야 하나요?GDC(베어메탈)는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
GCP-2024-049
게시: 2024년 8월 21일
참조:
CVE-2024-36978
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-048
게시: 2024년 8월 20일
참조:
CVE-2024-41009
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-047
게시: 2024년 8월 19일
참조:
CVE-2024-39503
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-045
게시: 2024년 7월 17일
업데이트: 2024년 9월 19일
참조:
CVE-2024-26925
2024년 9월 19일 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다.
2024년 8월 21일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 8월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 8월 21일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
업데이트: 2024년 9월 19일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 9월 19일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GDC 소프트웨어 버전이 업데이트되었습니다. VMware 클러스터용 GDC 소프트웨어를 다음 버전 이상으로 업그레이드합니다.
|
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-044
게시: 2024년 7월 16일
참조:
CVE-2024-36972
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-043
게시: 2024년 7월 16일
업데이트: 2024년 9월 20일
참조:
CVE-2024-26921
2024년 9월 20일 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다.
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
업데이트: 2024년 9월 20일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 9월 20일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GDC 소프트웨어 버전이 업데이트되었습니다. VMware 클러스터용 GDC 소프트웨어를 다음 버전 이상으로 업그레이드합니다.
|
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-042
게시: 2024년 7월 15일
업데이트: 2024년 7월 18일
참조:
CVE-2024-26809
2024년 7월 18일 업데이트: 기본 구성의 Autopilot 클러스터는 영향을 받지 않는다는 점을 명확히 했습니다.
GKE
업데이트: 2024년 7월 18일
설명 | 심각도 |
---|---|
2024년 7월 18일 업데이트: 이 게시판의 원본 버전에는 Autopilot 클러스터가 영향을 받았다고 잘못 명시되어 있습니다. 기본 구성의 Autopilot 클러스터는 영향을 받지 않지만 명시적으로 seccomp Unconfined 프로필을 설정하거나 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-041
게시: 2024년 7월 8일
업데이트: 2024년 9월 16일
참조:
CVE-2023-52654, CVE-2023-52656
2024년 9월 16일 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다.
2024년 7월 19일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 7월 19일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 7월 19일 업데이트: 다음 GKE 버전에는 Ubuntu에서 이 취약점을 해결하는 코드가 포함되어 있습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
업데이트: 2024년 9월 16일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 9월 16일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GDC 소프트웨어 버전이 업데이트되었습니다. VMware 클러스터용 GDC 소프트웨어를 다음 버전 이상으로 업그레이드합니다.
|
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-040
게시: 2024년 7월 1일
업데이트: 2024년 7월 11일
참조:
CVE-2024-6387
2024년 7월 11일 업데이트: VMware용 GDC 소프트웨어, AWS용 GKE, Azure용 GKE의 패치 버전이 추가되었습니다.
2024년 7월 3일 업데이트: GKE의 패치 버전이 추가되었습니다.
2024년 7월 2일 업데이트:
- Autopilot 클러스터가 영향을 받았으며 사용자 조치가 필요하다는 점을 명확히 했습니다.
- GDC(VMware), AWS의 GKE, Azure용 GKE에 대한 영향 평가 및 완화 단계가 추가되었습니다.
- GDC(베어메탈)가 직접 영향을 받지 않았으며 고객이 OS 공급업체에 패치를 확인해야 함을 명확히 하기 위해 GDC(베어메탈) 보안 게시판이 수정되었습니다.
GKE
업데이트: 2024년 7월 3일
설명 | 심각도 |
---|---|
2024년 7월 3일 업데이트: 신속한 출시가 진행 중이며 2024년 7월 3일 오후 5시(미국 및 캐나다 태평양 일광절약시간(UTC-7))까지 모든 영역에서 새 패치 버전을 사용할 수 있게 될 것으로 예상됩니다. 특정 클러스터에 대한 패치가 제공되는 즉시 알림을 받으려면 클러스터 알림을 사용하세요. 2024년 7월 2일 업데이트: 이 취약점은 Autopilot 모드와 Standard 모드 클러스터 모두에 영향을 미칩니다. 이어지는 각 섹션에서는 해당 섹션이 적용되는 모드를 알려줍니다. 최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다. GKE에서 지원되는 모든 버전의 Container Optimized OS 및 Ubuntu 이미지가 이 문제에 취약할 수 있는 OpenSSH 버전을 실행합니다. 공개 노드 IP 주소를 사용하고 SSH가 인터넷에 노출된 GKE 클러스터가 가장 시급한 완화 조치 대상입니다. GKE 컨트롤 플레인은 이 문제에 취약하지 않습니다. 어떻게 해야 하나요?2024년 7월 3일 업데이트: GKE 패치 버전신속한 출시가 진행 중이며 2024년 7월 3일 오후 5시(미국 및 캐나다 태평양 일광절약시간(UTC-7))까지 모든 영역에서 새 패치 버전을 사용할 수 있게 될 것으로 예상됩니다. 자동 업그레이드가 활성화된 클러스터와 노드는 한 주가 진행됨에 따라 업그레이드가 시작되지만 취약점의 심각도로 인해 가능한 한 빨리 패치를 받으려면 다음과 같이 수동으로 업그레이드하는 것이 좋습니다. Autopilot 클러스터와 Standard 클러스터 모두에서 컨트롤 플레인을 패치 버전으로 업그레이드합니다. 또한 Standard 모드 클러스터의 경우 노드 풀을 패치 버전으로 업그레이드합니다. Autopilot 클러스터가 최대한 빨리 컨트롤 플레인 버전과 일치하도록 노드 업그레이드를 시작합니다. 패치 적용에 필요한 변경사항을 최소화하기 위해 지원되는 모든 버전에 패치가 적용된 GKE 버전을 사용할 수 있습니다. 각 새 버전의 버전 번호는 해당 기존 버전의 버전 번호 마지막 숫자만큼 증가합니다. 예를 들어 1.27.14-gke.1100000을 사용 중인 경우 1.27.14-gke.1100002로 업그레이드하여 가능한 가장 작은 변경 사항으로 수정합니다. 다음과 같은 패치된 GKE 버전을 사용할 수 있습니다.
클러스터 영역 또는 리전에서 패치를 사용할 수 있는지 확인하려면 다음 명령어를 실행합니다. gcloud container get-server-config --location=
2024년 7월 2일 업데이트: Autopilot 모드와 Standard 모드 클러스터는 패치 버전이 출시된 후 가능한 한 빨리 업그레이드해야 합니다. 업데이트된 OpenSSH를 포함하며 패치가 적용된 GKE 버전을 최대한 빨리 제공할 예정입니다. 패치가 제공되면 이 게시판은 업데이트됩니다. 채널에 패치가 제공될 때 Pub/Sub 알림을 받으시려면 클러스터 알림을 사용 설정하세요. 다음 단계를 따라 클러스터의 노출을 확인하고 필요한 경우 설명된 완화 방법을 적용하시기 바랍니다. 노드에 공개 IP 주소가 있는지 확인2024년 7월 2일 업데이트: 이 섹션은 Autopilot 및 Standard 클러스터 모두에 적용됩니다. 클러스터가
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" 반환 값이 true이면 모든 노드가 이 클러스터의 비공개 노드이며 취약점이 완화됩니다. 값이 비어 있거나 false이면 계속해서 다음 섹션의 완화 방법 중 하나를 적용합니다. 원래 공개 노드로 만든 모든 클러스터를 찾으려면 프로젝트 또는 조직에서 다음 Cloud 애셋 인벤토리 쿼리를 사용합니다. SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false 클러스터 노드에 대한 SSH 허용 안함2024년 7월 2일 업데이트: 이 섹션은 Autopilot 및 Standard 클러스터 모두에 적용됩니다. 기본 네트워크에는 공개 인터넷에서 SSH 액세스를 허용하기 위한
포트 22에서 TCP를 통해 SSH를 허용할 수 있는 다른 방화벽 규칙을 만든 경우 이를 사용 중지하거나 소스 IP를 신뢰할 수 있는 네트워크로 제한합니다. 더 이상 인터넷에서 클러스터 노드에 SSH를 통해 연결할 수 없는지 확인합니다. 이 방화벽 구성은 취약점을 완화합니다. 공개 노드 풀을 비공개로 변환2024년 7월 2일 업데이트: 원래 공개 클러스터로 만든 Autopilot 클러스터의 경우 nodeSelector를 사용하여 프라이빗 노드에 워크로드를 배치할 수 있습니다. 그러나 원래 공개 클러스터로 만든 클러스터에서 시스템 워크로드를 실행하는 Autopilot 노드는 여전히 공개 노드이므로 이전 섹션에 설명된 방화벽 변경 사항으로 보호해야 합니다. 원래 공개 노드로 만든 클러스터를 가장 효과적으로 보호하려면 먼저 앞서 설명한 대로 방화벽을 통한 SSH를 허용하지 않는 것이 좋습니다. 방화벽 규칙을 통해 SSH를 사용 중지할 수 없는 우 이 안내에 따라 노드 풀을 격리하여 GKE Standard 클러스터의 공개 노드 풀을 비공개로 전환할 수 있습니다. SSHD 구성 변경2024년 7월 2일 업데이트: 이 섹션은 Standard 클러스터에만 적용됩니다. Autopilot 워크로드는 노드 구성을 수정하도록 허용되지 않습니다. 이러한 완화 방법을 적용할 수 없는 경우 SSHD |
심각 |
GDC(VMware)
업데이트: 2024년 7월 11일
설명 | 심각도 |
---|---|
2024년 7월 11일 업데이트: 다음 VMware용 GDC 소프트웨어 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 워크스테이션, 관리자 클러스터, 사용자 클러스터(노드 풀 포함)를 다음 버전 이후 중 하나로 업그레이드합니다. 자세한 내용은 클러스터 또는 노드 풀 업그레이드를 참조하세요.
이 게시판의 2024년 7월 2일 업데이트에서 VMware용 GDC 소프트웨어에서 지원되는 모든 버전의 Ubuntu 이미지가 이 문제에 취약한 OpenSSH 버전을 실행한다고 잘못 언급했습니다. VMware 버전 1.16 클러스터용 GDC 소프트웨어의 Ubuntu 이미지는 이 문제에 취약하지 않은 OpenSSH 버전을 실행합니다. VMware 1.28 및 1.29용 GDC 소프트웨어의 Ubuntu 이미지가 취약합니다. 지원되는 모든 VMware용 GDC 소프트웨어 버전의 Container-Optimized OS 이미지는 이 문제에 취약합니다. 2024년 7월 2일 업데이트: 지원되는 모든 버전의 Container-Optimized OS 및 VMware용 GDC 소프트웨어의 Ubuntu 이미지는 이 문제에 취약한 OpenSSH 버전을 실행합니다. 공용 노드 IP 주소와 SSH가 인터넷에 노출된 VMware 클러스터용 GDC 소프트웨어는 완화를 위해 가장 높은 우선순위로 처리되어야 합니다. 최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다. 어떻게 해야 하나요?2024년 7월 2일 업데이트: 업데이트된 OpenSSH를 포함하는 VMware 버전용 패치 GDC 소프트웨어가 가능한 한 빨리 제공될 예정입니다. 패치가 제공되면 이 게시판은 업데이트됩니다. 필요에 따라 다음 완화 조치를 적용하는 것이 좋습니다. 클러스터 노드에 대한 SSH 허용 안함공개 인터넷과 같이 신뢰할 수 없는 소스의 SSH 연결을 허용하지 않도록 인프라 네트워크 설정을 변경할 수 있습니다. sshd 구성 변경이전 완화 조치를 적용할 수 없는 경우 sshd |
심각 |
AWS용 GKE
업데이트: 2024년 7월 11일
설명 | 심각도 |
---|---|
2024년 7월 11일 업데이트: 다음 AWS용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.
AWS용 GKE 컨트롤 플레인과 노드 풀을 이러한 패치 버전 이상 중 하나로 업그레이드합니다. 자세한 내용은 AWS 클러스터 버전 업그레이드 및 노드 풀 업데이트를 참조하세요. 2024년 7월 2일 업데이트: AWS용 GKE에서 지원되는 모든 Ubuntu 이미지 버전은 이 문제에 취약한 OpenSSH 버전을 실행합니다. 공개 노드 IP 주소를 사용하고 SSH가 인터넷에 노출된 AWS용 GKE 클러스터가 가장 시급한 완화 조치 대상입니다. 최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다. 어떻게 해야 하나요?2024년 7월 2일 업데이트: 업데이트된 OpenSSH가 포함된 패치된 AWS용 GKE 버전이 최대한 빨리 출시될 예정입니다. 패치가 제공되면 이 게시판은 업데이트됩니다. 다음 단계를 수행하여 클러스터의 노출을 확인하고 필요에 따라 설명된 완화 조치를 적용하는 것이 좋습니다. 노드에 공개 IP 주소가 있는지 확인AWS용 GKE는 기본적으로 포트 22에 대한 트래픽을 허용하는 공개 IP 주소나 방화벽 규칙이 있는 머신을 프로비저닝하지 않습니다. 그러나 서브넷 구성에 따라 머신은 프로비저닝 중에 공개 IP 주소를 자동으로 얻을 수 있습니다. 노드가 공개 IP 주소로 프로비저닝되었는지 확인하려면 AWS 노드 풀 리소스와 연결된 서브넷 구성을 살펴보세요. 클러스터 노드에 대한 SSH 허용 안함AWS용 GKE는 기본적으로 모든 노드의 포트 22에서 트래픽을 허용하지 않지만 고객은 추가 보안 그룹을 노드 풀에 연결하여 인바운드 SSH 트래픽을 활성화할 수 있습니다. 제공된 보안 그룹에서 해당 규칙을 제거하거나 범위를 줄이는 것이 좋습니다. 공개 노드 풀을 비공개로 변환공개 노드가 있는 클러스터를 보호하기 위해서는 먼저 이전 섹션의 설명대로 보안 그룹을 통해 SSH를 허용하지 않는 것이 좋습니다. 보안 그룹 규칙을 통해 SSH를 허용하지 않을 수 없는 경우 서브넷 내 머신에 공개 IP를 자동으로 할당하는 옵션을 비활성화하고 노드 풀을 다시 프로비저닝하여 공개 노드 풀을 비공개로 변환할 수 있습니다. |
심각 |
Azure용 GKE
업데이트: 2024년 7월 11일
설명 | 심각도 |
---|---|
2024년 7월 11일 업데이트: 다음 버전의 Azure용 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.
Azure용 GKE 컨트롤 플레인과 노드 풀을 이러한 패치 버전 이상 중 하나로 업그레이드합니다. 자세한 내용은 Azure 클러스터 버전 업그레이드 및 노드 풀 업데이트를 참조하세요. 2024년 7월 2일 업데이트: Azure용 GKE에서 지원되는 모든 Ubuntu 이미지 버전은 이 문제에 취약한 OpenSSH 버전을 실행합니다. 공개 노드 IP 주소를 사용하고 SSH가 인터넷에 노출된 Azure용 GKE 클러스터가 가장 시급한 완화 조치 대상입니다. 최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다. 어떻게 해야 하나요?2024년 7월 2일 업데이트: 업데이트된 OpenSSH가 포함된 패치된 Azure용 GKE 버전이 최대한 빨리 출시될 예정입니다. 패치가 제공되면 이 게시판은 업데이트됩니다. 다음 단계를 수행하여 클러스터의 노출을 확인하고 필요에 따라 설명된 완화 조치를 적용하는 것이 좋습니다. 노드에 공개 IP 주소가 있는지 확인Azure용 GKE는 기본적으로 포트 22에 대한 트래픽을 허용하는 공개 IP 주소나 방화벽 규칙이 있는 머신을 프로비저닝하지 않습니다. Azure 구성을 검토하여 Azure용 GKE 클러스터에 구성된 공개 IP 주소가 있는지 확인하려면 다음 명령어를 실행하세요. az network public-ip list -g 클러스터 노드에 대한 SSH 허용 안함Azure용 GKE는 기본적으로 포트 22에서 트래픽을 허용하지 않지만 고객은 NetworkSecurityGroup 규칙을 노드 풀로 업데이트하여 공개 인터넷에서 인바운드 SSH 트래픽을 사용 설정할 수 있습니다. Kubernetes 클러스터와 연결된 네트워크 보안 그룹(NSG)을 검토하는 것이 좋습니다. 포트 22(SSH)에서 무제한 인바운드 트래픽을 허용하는 NSG 규칙이 있는 경우 다음 중 하나를 수행합니다.
공개 노드 풀을 비공개로 변환공개 노드가 있는 클러스터를 보호하기 위해서는 먼저 이전 섹션의 설명대로 보안 그룹을 통해 SSH를 허용하지 않는 것이 좋습니다. 보안 그룹 규칙을 통해 SSH를 허용하지 않을 수 없는 경우 VM과 연결된 공개 IP 주소를 제거하여 공개 노드 풀을 비공개로 변환할 수 있습니다. VM에서 공개 IP 주소를 삭제하고 비공개 IP 주소 구성으로 바꾸려면 Azure VM에서 공개 IP 주소 연결 해제를 참조하세요. 영향: 공개 IP 주소를 사용하는 기존 연결은 모두 중단됩니다. VPN 또는 Azure 배스천과 같은 대체 액세스 방법이 있는지 확인하세요. |
심각 |
GDC(베어메탈)
업데이트: 2024년 7월 2일
설명 | 심각도 |
---|---|
2024년 7월 2일 업데이트: 베어메탈용 GDC 소프트웨어에 대한 이 게시판의 원본 버전에는 패치 버전이 진행 중이라고 잘못 명시되어 있습니다. 베어메탈용 GDC 소프트웨어는 운영체제 SSH 데몬 또는 구성을 관리하지 않으므로 직접적인 영향을 받지 않습니다. 따라서 패치 버전은 어떻게 해야 하나요? 섹션의 설명에 따라 운영체제 제공업체의 책임입니다. 최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 GKE 노드에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다. 어떻게 해야 하나요?2024년 7월 2일 업데이트: 베어메탈용 GDC 소프트웨어와 함께 사용되는 운영체제에 대한 패치를 얻으려면 OS 제공업체에 문의하세요. OS 공급업체 패치를 적용할 때까지 공개 연결 가능 시스템이 인터넷에서 SSH 연결을 허용하지 않는지 확인하세요. 이것이 가능하지 않은 경우 대안은 grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 이 구성 변경으로 인해 서비스 거부 공격의 위험이 증가할 수 있으며 합법적인 SSH 액세스에 문제가 발생할 수 있음에 유의하세요. 2024년 7월 1일 원본 텍스트(수정은 2024년 7월 2일 이전 업데이트 참고): |
심각 |
GCP-2024-039
게시: 2024년 6월 28일
업데이트: 2024년 9월 25일
참조:
CVE-2024-26923
2024년 9월 25일 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다.
2024년 8월 20일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 8월 20일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 8월 20일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
업데이트: 2024년 9월 25일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 9월 25일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GDC 소프트웨어 버전이 업데이트되었습니다. VMware 클러스터용 GDC 소프트웨어를 다음 버전 이상으로 업그레이드합니다.
|
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-038
게시: 2024년 6월 26
업데이트: 2024년 9월 17일
참조:
CVE-2024-26924
2024년 9월 17일 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다.
2024년 8월 6일 업데이트:: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 8월 6일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 8월 6일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
GDC(VMware)
업데이트: 2024년 9월 17일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 9월 17일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GDC 소프트웨어 버전이 업데이트되었습니다. VMware 클러스터용 GDC 소프트웨어를 다음 버전 이상으로 업그레이드합니다.
|
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
GDC(베어메탈)
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GDC 소프트웨어는 배포에서 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-036
게시: 2024년 6월 18일
참조:
CVE-2024-26584
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-035
게시: 2024년 6월 12일
업데이트: 2024년 7월 18일
참조: CVE-2024-26584
2024년 7월 18일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되고 Container-Optimized OS 노드 풀의 1.27 버전에 대한 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 7월 18일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 7월 18일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
다음 GKE 버전은 Container-Optimized OS에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 이상으로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
다음 부 버전이 영향을 받지만 사용 가능한 패치 버전이 없습니다. 패치 버전이 제공되면 이 게시판이 업데이트됩니다.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-034
게시: 2024년 6월 11일
업데이트: 2024년 7월 10일
참조: CVE-2024-26583
2024년 7월 10일 업데이트: 부 버전 1.26 및 1.27을 실행하는 Container-Optimized OS 노드의 패치 버전과 Ubuntu 노드 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 7월 10일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 7월 10일 업데이트: 다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드합니다.
부 버전 1.26 및 1.27의 경우 Container-Optimized OS 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드합니다.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-033
게시: 2024년 6월 10일
업데이트: 2024년 9월 26일
참조:
CVE-2022-23222
2024년 9월 26일 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다.
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
업데이트: 2024년 9월 26일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 9월 26일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GDC 소프트웨어 버전이 업데이트되었습니다. VMware 클러스터용 GDC 소프트웨어를 다음 버전 이상으로 업그레이드합니다.
|
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-031
게시: 2024년 5월 24일
참조: CVE-2024-4323
GKE
설명 | 심각도 |
---|---|
Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다. GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?GKE는 이 취약점의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다. VMware용 GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?VMware용 GKE는 이 취약점의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다. AWS용 GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?AWS용 GKE는 이 취약점의 영향을 받지 않으며 별도의 작업이 필요하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다. Azure용 GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?Azure용 GKE는 이 취약점의 영향을 받지 않으므로 별도의 조치가 필요하지 않습니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다. 베어메탈용 GKE는 Fluent Bit의 취약 버전을 사용하지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?베어메탈용 GKE는 이 취약점의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
GCP-2024-030
게시: 2024년 5월 15일
업데이트: 2024년 7월 18일
참조: CVE-2023-52620
2024년 7월 18일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 7월 18일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 7월 18일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-029
게시: 2024년 5월 14일
업데이트: 2024년 8월 19일
참조:
CVE-2024-26642
2024년 8월 19일 업데이트: Ubuntu 노드의 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 8월 19일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 8월 19일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-028
게시: 2024년 5월 13일
업데이트: 2024년 5월 22일
참조: CVE-2024-26581
2024년 5월 22일 업데이트: Ubuntu 노드의 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 5월 22일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 5월 22일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-027
게시: 2024년 5월 8일
업데이트: 2024년 9월 25일
참조:
CVE-2024-26808
2024년 9월 25일 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다.
2024년 5월 15일 업데이트: GKE Ubuntu 노드 풀의 패치 버전이 추가되었습니다.
2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었으며 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 확인했습니다.
GKE
업데이트: 2024년 5월 9일, 2024년 5월 15일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었습니다.
원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 5월 15일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
업데이트: 2024년 9월 25일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 9월 25일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GDC 소프트웨어 버전이 업데이트되었습니다. VMware 클러스터용 GDC 소프트웨어를 다음 버전 이상으로 업그레이드합니다.
|
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-026
게시: 2024년 5월 7일
업데이트: 2024년 8월 6일
참조:
CVE-2024-26643
2024년 8월 6일 업데이트:: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.
2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었습니다.
GKE
업데이트: 2024년 8월 6일
설명 | 심각도 |
---|---|
2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 8월 6일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-024
게시: 2024년 4월 25일
업데이트: 2024년 7월 18일
참조: CVE-2024-26585
2024년 7월 18일 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 7월 18일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 7월 18일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-022
게시: 2024년 4월 3일
업데이트: 2024년 7월 17일
참조: CVE-2023-45288
2024년 7월 17일 업데이트: VMware용 GKE 패치 버전이 추가되었습니다.
2024년 7월 9일 업데이트: 베어메탈용 GKE 패치 버전이 추가되었습니다.
2024년 4월 24일 업데이트: GKE 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 4월 24일
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 승인된 네트워크가 구성된 GKE 클러스터는 네트워크 액세스 제한을 통해 보호되지만 다른 모든 클러스터는 영향을 받습니다. GKE Autopilot 및 Standard 클러스터가 영향을 받습니다. 어떻게 해야 하나요?2024년 4월 24일 업데이트: GKE의 패치 버전이 추가되었습니다. 다음 GKE 버전에는 이 취약점을 해결하기 위한 Golang 보안 패치가 포함되어 있습니다. GKE 클러스터를 다음 버전 이상으로 업그레이드합니다.
golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요. 컨트롤 플레인 액세스를 위해 승인된 네트워크를 구성하여 완화:승인된 네트워크를 구성하여 이 공격 클래스로부터 클러스터를 완화할 수 있습니다. 안내에 따라 기존 클러스터에 승인된 네트워크를 사용 설정합니다. 승인된 네트워크 제어로 컨트롤 플레인에 액세스하는 방법은 승인된 네트워크 작동 방법을 참조하세요. 기본 승인된 네트워크 액세스를 보려면 컨트롤 플레인 엔드포인트에 대한 액세스 섹션의 표를 참고하세요. 이 패치로 어떤 취약점이 해결되나요?취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다. |
높음 |
VMware용 GKE
업데이트: 2024년 7월 17일
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 어떻게 해야 하나요?2024년 7월 17일 업데이트: VMware용 GKE 패치 버전이 추가되었습니다. 다음 VMware용 GKE 버전에는 이 취약점을 해결하기 위한 코드가 포함되어 있습니다. VMware용 GKE 클러스터를 다음 버전 이상으로 업그레이드합니다.
golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 VMware용 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요. 이 패치로 어떤 취약점이 해결되나요?취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 어떻게 해야 하나요?golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 AWS용 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요. 이 패치로 어떤 취약점이 해결되나요?취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 어떻게 해야 하나요?golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 Azure용 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요. 이 패치로 어떤 취약점이 해결되나요?취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다. |
높음 |
베어메탈용 GKE
업데이트: 2024년 7월 9일
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 어떻게 해야 하나요?2024년 7월 9일 업데이트: 베어메탈용 GKE 패치 버전이 추가되었습니다. 다음 베어메탈용 GKE 버전에는 이 취약점을 해결하기 위한 코드가 포함되어 있습니다. 베어메탈용 GKE 클러스터를 다음 버전 이상으로 업그레이드합니다.
golang 프로젝트는 2024년 4월 3일에 패치가 출시되었습니다. 이러한 패치가 포함된 베어메탈용 GKE 버전이 제공되면 이 게시판이 업데이트됩니다. 단축된 일정에 따라 패치를 요청하려면 지원팀에 문의하세요. 이 패치로 어떤 취약점이 해결되나요?취약점(CVE-2023-45288)을 통해 공격자가 Kubernetes 컨트롤 플레인에서 DoS 공격을 실행할 수 있습니다. |
높음 |
GCP-2024-018
게시: 2024년 3월 12일
업데이트: 2024년 5월 6일
참조:
CVE-2024-1085
2024년 5월 6일 업데이트: 2024년 4월 4일 업데이트에서 GKE Ubuntu 노드 풀의 패치 버전이 추가되고 추가 가로줄 요소가 삭제되었습니다.
2024년 4월 4일 업데이트: GKE Container-Optimized OS 노드 풀의 최소 버전이 수정되었습니다.
GKE
업데이트: 2024년 5월 6일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 5월 6일 업데이트: Ubuntu에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Ubuntu 노드 풀을 다음 버전 이상으로 업그레이드하세요.
2024년 4월 4일 업데이트: GKE Container-Optimized OS 노드 풀의 최소 버전이 수정되었습니다. 이전에 나열된 Container-Optimized OS 수정사항이 포함된 최소 GKE 버전이 잘못되었습니다. Container-Optimized OS에서 이 취약점을 해결하기 위한 코드로 다음 GKE 버전이 업데이트됩니다. Container-Optimized OS 노드 풀을 다음 버전 이상으로 업그레이드합니다.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-017
게시: 2024년 3월 6일
참조:
CVE-2023-3611
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-014
게시: 2024년 2월 26일
참조:
CVE-2023-3776
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-013
게시: 2024년 2월 23일
참조:
CVE-2023-3610
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-012
게시: 2024년 2월 20일
참조:
CVE-2024-0193
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-011
게시: 2024년 2월 15일
참조:
CVE-2023-6932
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-010
게시: 2024년 2월 14일
업데이트: 2024년 4월 17일
참조:
CVE-2023-6931
2024년 4월 17일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
업데이트: 2024년 4월 17일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 4월 17일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다. 이 취약점을 해결하기 위한 코드로 다음 VMware용 GKE 버전이 업데이트됩니다. 클러스터를 다음 버전 이상으로 업그레이드합니다.
|
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-008
게시: 2024년 2월12일
참조: CVE-2023-5528
GKE
설명 | 심각도 |
---|---|
CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다. Windows Server 노드를 실행하고 트리 내 스토리지 플러그인을 사용하는 GKE Standard 클러스터가 영향을 받을 수 있습니다. GKE Sandbox를 사용하는 GKE Autopilot 클러스터 및 GKE 노드 풀은 Windows Server 노드를 지원하지 않으므로 영향을 받지 않습니다. 어떻게 해야 하나요?클러스터에서 사용 중인 Windows Server 노드가 있는지 확인합니다. kubectl get nodes -l kubernetes.io/os=windows 감사 로그에서 악용 증거를 확인합니다. Kubernetes 감사 로그를 감사하여 이 취약점이 악용되고 있는지 확인할 수 있습니다. 특수문자가 포함된 로컬 경로 필드를 사용하는 영구 볼륨 만들기 이벤트는 강력한 악용 지표입니다. GKE 클러스터 및 노드 풀을 패치 버전으로 업데이트하세요. 이 취약점을 해결하기 위해 다음 GKE 버전이 업데이트되었습니다. 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Windows Server 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. 이 패치로 어떤 취약점이 해결되나요?CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다. Windows Server 노드를 실행하고 트리 내 스토리지 플러그인을 사용하는 VMware용 GKE 클러스터가 영향을 받을 수 있습니다. 어떻게 해야 하나요?클러스터에서 사용 중인 Windows Server 노드가 있는지 확인합니다. kubectl get nodes -l kubernetes.io/os=windows 감사 로그에서 악용 증거를 확인합니다. Kubernetes 감사 로그를 감사하여 이 취약점이 악용되고 있는지 확인할 수 있습니다. 특수문자가 포함된 로컬 경로 필드를 사용하는 영구 볼륨 만들기 이벤트는 강력한 악용 지표입니다. VMware용 GKE 클러스터와 노드 풀을 패치 버전으로 업데이트하세요. 이 취약점을 해결하기 위해 다음 VMware용 GKE 버전이 업데이트되었습니다. 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Windows Server 노드 풀을 다음 VMware용 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다. AWS용 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다. Azure용 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다. 베어메탈용 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?조치 필요 없음 |
없음 |
GCP-2024-005
게시: 2024년 1월 31일
업데이트: 2024년 5월 6일
참조: CVE-2024-21626
2024년 5월 6일 업데이트: AWS용 GKE 및 Azure용 GKE의 패치 버전이 추가되었습니다.
2024년 4월 2일 업데이트: 베어메탈용 GKE의 패치 버전이 추가되었습니다.
2024년 3월 6일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.
2024년 2월 28일 업데이트: Ubuntu의 패치 버전이 추가되었습니다.
2024년 2월 15일 업데이트: 2024년 2월 14일 업데이트의 1.25 및 1.26 Ubuntu 패치 버전으로 인해 비정상 노드가 발생할 수 있음을 설명했습니다.
2024년 2월 14일 업데이트: Ubuntu의 패치 버전이 추가되었습니다.
2024년 2월 6일 업데이트: Container-Optimized OS의 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 3월 6일
설명 | 심각도 |
---|---|
Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 2월 28일 업데이트: 다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Ubuntu 노드 풀을 다음 패치 버전 중 하나 또는 그 이상으로 업그레이드하세요.
2024년 2월 15일 업데이트: 문제로 인해 2024년 2월 14일 업데이트에서 다음 Ubuntu 패치 버전들이 노드를 비정상 상태가 되도록 할 수 있습니다. 다음 패치 버전으로 업그레이드하지 마세요. Ubuntu용 최신 패치 버전이 1.25 및 1.26에 제공되면 이 게시판이 업데이트됩니다.
이러한 패치 버전 중 하나로 이미 업그레이드한 경우 출시 채널에서 노드 풀을 이전 버전으로 수동으로 다운그레이드합니다. 2024년 2월 14일 업데이트: 다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Ubuntu 노드 풀을 다음 패치 버전 중 하나 또는 그 이상으로 업그레이드하세요.
2024년 2월 6일 업데이트: 다음 GKE 버전은 Container-Optimized OS에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Container-Optimized OS 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. 이 취약점을 해결하기 위한 코드로 GKE가 업데이트됩니다. 패치 버전이 제공되면 이 게시판이 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?
|
높음 |
VMware용 GKE
업데이트: 2024년 3월 6일
설명 | 심각도 |
---|---|
Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 어떻게 해야 하나요?2024년 3월 6일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 이상으로 업그레이드합니다.
VMware용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다. 이 패치로 어떤 취약점이 해결되나요?
|
높음 |
AWS용 GKE
업데이트: 2024년 5월 6일
설명 | 심각도 |
---|---|
Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 어떻게 해야 하나요?2024년 5월 6일 업데이트: CVE-2024-21626용 패치로 다음 버전의 AWS용 GKE가 업데이트되었습니다.
AWS용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다. 이 패치로 어떤 취약점이 해결되나요?
|
높음 |
Azure용 GKE
업데이트: 2024년 5월 6일
설명 | 심각도 |
---|---|
Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 어떻게 해야 하나요?2024년 5월 6일 업데이트: CVE-2024-21626용 패치로 다음 버전의 Azure용 GKE가 업데이트되었습니다.
Azure용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다. 이 패치로 어떤 취약점이 해결되나요?
|
높음 |
베어메탈용 GKE
업데이트: 2024년 4월 2일
설명 | 심각도 |
---|---|
포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대해 전체 액세스 권한을 얻을 수 있는 어떻게 해야 하나요?2024년 4월 2일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 버전의 베어메탈용 GKE가 업데이트되었습니다. 클러스터를 다음 버전 이상으로 업그레이드합니다.
베어메탈용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다. 이 패치로 어떤 취약점이 해결되나요?
|
높음 |
GCP-2024-004
게시: 2024년 1월 24일
업데이트: 2024년 2월 7일
참조: CVE-2023-6817
2024년 2월 7일 업데이트: Ubuntu 패치 버전이 추가되었습니다.
GKE
업데이트: 2024년 2월 7일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 2월 7일 업데이트: 영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2024-003
게시: 2024년 1월 19일
업데이트: 2024년 1월 26일
2024년 1월 26일 업데이트: 영향을 받은 클러스터의 개수와 영향을 완화하기 위해 Google이 수행한 조치를 명확하게 설명했습니다.
GKE
업데이트: 2024년 1월 26일
설명 | 심각도 |
---|---|
2024년 1월 26일 업데이트: 일부 클러스터에서 Google 계정을 가진 모든 사용자를 포함하는 최근 Google 취약점 보고 프로그램을 통해 RBAC 구성 오류가 있는 클러스터가 발견되었다는 연구원의 보고가 있었습니다. Google의 인증 접근 방식은 복잡한 구성 단계를 추가하지 않고 Google Cloud 및 GKE에 대한 인증을 가능한 한 간단하고 안전하게 만드는 것입니다.
인증은 사용자가 누구인지 알려줄 뿐이며, 액세스는 승인을 통해 결정됩니다. 따라서 Google의 ID 공급업체를 통해 인증된 모든 사용자가 포함된 GKE의 사용자가 시스템 사용자/그룹의 우발적인 승인 오류로부터 사용자를 보호하기 위해 다음과 같이 조치했습니다.
승인된 네트워크 제한을 적용하는 클러스터에는 1차 방어 레이어가 있으며 인터넷에서 직접 공격을 받을 수 없습니다. 하지만 여전히 심층 방어와 네트워크 제어 오류 방지를 위해서는 이러한 바인딩을 삭제하는 것이 좋습니다. Google은 예방 및 감지를 통해 이러한 시스템 사용자/그룹에 대한 사용자 RBAC 구성 오류를 방지하기 위한 추가 방법을 조사하고 있습니다. 어떻게 해야 하나요?
기존 바인딩은 이 안내에 따라 검토해야 합니다. |
보통 |
VMware용 GKE
현재 업데이트 없음
AWS용 GKE
현재 업데이트 없음
Azure용 GKE
현재 업데이트 없음
베어메탈용 GKE
현재 업데이트 없음
GCP-2024-002
게시: 2024년 1월 17일
업데이트: 2024년 2월 20일
참조: CVE-2023-6111
2024년 2월 20일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
업데이트: 2024년 2월 20일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 2월 20일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GKE 버전이 업데이트되었습니다. 클러스터를 1.28.100 이상 버전으로 업그레이드합니다. |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-051
게시: 2023년 12월 28일
참조:
CVE-2023-3609
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-050
게시: 2023년 12월 27일
참조:
CVE-2023-3389
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-049
게시: 2023년 12월 20일
참조:
CVE-2023-3090
GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-048
게시: 2023년 12월 15일
업데이트: 2023년 12월 21일
참조:
CVE-2023-3390
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
GKE
업데이트: 2023년 12월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-047
게시: 2023년 12월 14일
GKE
설명 | 심각도 |
---|---|
Fluent Bit 로깅 컨테이너를 손상시킨 공격자가 Cloud Service Mesh(사용 설정된 클러스터에서)에서 클러스터에 권한을 에스컬레이션하기 위해 필요한 고급 권한과 해당 액세스 권한을 결합할 수 있습니다. Fluent Bit 및 Cloud Service Mesh 관련 문제가 해결되었고 이제 수정 사항이 제공됩니다. 이러한 취약점은 GKE에서 자체적인 악용이 불가능하며 초기 손상이 필요합니다. Google에서는 이러한 취약점의 악용 사례가 확인되지 않았습니다. 이러한 문제는 취약점 발견 보상 프로그램을 통해 보고되었습니다. 어떻게 해야 하나요?Fluent Bit에서 이러한 취약점을 해결하고 관리형 Cloud Service Mesh 사용자를 위해 다음 버전의 GKE가 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).
이 패치로 어떤 취약점이 해결되나요? 이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 Fluent Bit 로깅 컨테이너를 손상시켜야 합니다. Fluent Bit에서 이러한 권한 에스컬레이션 필요 조건으로 어이질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다. GKE는 Fluent Bit을 사용해서 클러스터에서 실행되는 워크로드의 로그를 처리합니다. GKE 기반 Fluent Bit은 또한 Cloud Run 워크로드의 로그를 수집하도록 구성되었습니다. 이러한 로그를 수집하도록 구성된 볼륨 마운트는 노드에서 실행 중인 다른 포드의 Kubernetes 서비스 계정 토큰에 대한 액세스 권한을 Fluent Bit에 제공했습니다. 연구원은 이 액세스를 사용해서 Cloud Service Mesh를 사용 설정한 클러스터에 대해 높은 권한의 서비스 계정 토큰을 발견했습니다. Cloud Service Mesh는 포드 만들기 및 삭제 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다. Google은 서비스 계정 토큰에 대한 Fluent Bit의 액세스 권한을 삭제하고 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다. |
보통 |
VMware용 GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh를 사용하는 VMware용 GKE만 영향을 받습니다. 어떻게 해야 하나요?클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).
이 패치로 어떤 취약점이 해결되나요?이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다. Cloud Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다. Google은 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다. |
보통 |
AWS용 GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh를 사용하는 AWS용 GKE만 영향을 받습니다. 어떻게 해야 하나요?클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).
이 패치로 어떤 취약점이 해결되나요?이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다. Cloud Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다. Google은 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다. |
보통 |
Azure용 GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh를 사용하는 Azure용 GKE 클러스터만 영향을 받습니다. 어떻게 해야 하나요?클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).
이 패치로 어떤 취약점이 해결되나요?이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다. Cloud Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다. Google은 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다. |
보통 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh를 사용하는 베어메탈용 GKE 클러스터만 영향을 받습니다. 어떻게 해야 하나요?클러스터에 클러스터 내 Cloud Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).
이 패치로 어떤 취약점이 해결되나요?이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다. Anthos Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Cloud Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다. Google은 과도한 권한을 삭제할 수 있도록 Cloud Service Mesh 기능을 다시 설계했습니다. |
보통 |
GCP-2023-046
게시: 2023년 11월 22일
업데이트: 2024년 3월 4일
참조:
CVE-2023-5717
2024년 3월 4일 업데이트: VMware용 GKE의 GKE 버전이 추가되었습니다.
2024년 1월 22일 업데이트: Ubuntu 패치 버전 추가
GKE
업데이트: 2024년 1월 22일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2024년 1월 22일 업데이트: 영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
업데이트: 2024년 2월 29일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?2024년 3월 4일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GKE 버전이 업데이트되었습니다. 클러스터를 다음 버전 이상으로 업그레이드합니다.
|
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-045
게시: 2023년 11월 20일
업데이트: 2023년 12월 21일
참조:
CVE-2023-5197
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
GKE
업데이트: 2023년 12월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?영향을 받는 마이너 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.
영향을 받는 마이너 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-042
게시: 2023년 11월 13일
업데이트: 2023년 11월 15일
참조: CVE-2023-4147
2023년 11월 15일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.
GKE
업데이트: 2023년 11월 15일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
GKE Standard 클러스터가 영향을 받습니다. GKE Autopilot 클러스터는 영향을 받지 않습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 11월 15일 업데이트: 노드에서 해당 마이너 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 예를 들어 GKE 버전 1.27을 사용하는 경우 해당 패치 버전으로 업그레이드해야 합니다. 하지만 GKE 버전 1.24를 사용하는 경우 패치 버전으로 업그레이드할 필요가 없습니다. Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.
Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.
클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-041
게시: 2023년 11월 8일
업데이트: 2023년 11월 21일, 2023년 12월 5일, 2023년 12월 21일
참조:
CVE-2023-4004
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
2023년 12월 5일 업데이트: Container-Optimized OS 노드 풀용 GKE 버전이 추가되었습니다.
2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.
GKE
업데이트: 2023년 11월 21일, 2023년 12월 5일, 2023년 12월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 12월 5일 업데이트: 이전에 일부 GKE 버전이 누락되었습니다. 다음은 Container-Optimized OS를 업데이트할 수 있는 GKE 버전의 업데이트된 목록입니다.
2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다. Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.
Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.
|
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-040
게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조:
CVE-2023-4921
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.
GKE
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다. Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.
Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.
|
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-039
게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 11월 16일
참조:
CVE-2023-4622
2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.
2023년 11월 16일 업데이트: 이 보안 게시판과 연관된 취약점은 CVE-2023-4622입니다. 이전 버전의 보안 게시판에 CVE-2023-4623이 취약점으로 잘못 표시되었습니다.
GKE
업데이트: 2023년 11월 21일, 2023년 11월 16일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다. Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.
Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.
|
높음 |
VMware용 GKE
업데이트: 2023년 11월 16일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
업데이트: 2023년 11월 16일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
업데이트: 2023년 11월 16일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
업데이트: 2023년 11월 16일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-038
게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조:
CVE-2023-4623
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.
GKE
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다. Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.
Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.
|
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-037
게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조:
CVE-2023-4015
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.
GKE
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다. Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.
Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.
|
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
대기 중 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
없음 |
GCP-2023-035
게시: 2023년 10월 26일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.
GKE
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다. Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.
Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.
|
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
높음 |
GCP-2023-033
게시: 2023년 10월 24일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조:
CVE-2023-3777
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터 및 GKE Sandbox 워크로드에 영향이 없음을 명시합니다.
2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.
GKE
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터가 영향을 받습니다. 어떻게 해야 하나요?2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다. Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.
Ubuntu 노드 풀을 다음 버전 이상 중 하나로 업그레이드하세요.
|
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
AWS용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
Azure용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요? |
베어메탈용 GKE
설명 | 심각도 |
---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다. |
GCP-2023-030
게시: 2023년 10월 10일
업데이트: 2024년 3월 20일
참조: CVE-2023-44487CVE-2023-39325
2024년 3월 20일 업데이트 AWS용 GKE 및 Azure용 GKE의 패치 버전이 추가되었습니다.
2024년 2월 14일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.
2023년 11월 9일 업데이트: CVE-2023-39325가 추가되었습니다. CVE-2023-44487 및 CVE-2023-39325의 최신 패치로 GKE 버전이 업데이트되었습니다.
GKE
업데이트: 2023년 11월 9일
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 승인된 네트워크가 구성된 GKE 클러스터는 네트워크 액세스 제한을 통해 보호되지만 다른 모든 클러스터는 영향을 받습니다. 어떻게 해야 하나요?2023년 11월 9일 업데이트: Go 및 Kubernetes 보안 패치가 포함된 새로운 GKE 버전이 출시되어, 이제 클러스터를 업데이트할 수 있습니다. 이 문제를 더욱 완화하기 위해 앞으로 몇 주 내에 GKE 컨트롤 플레인에 대한 추가 변경사항이 출시될 예정입니다. 다음 GKE 버전이 CVE-2023-44487 및 CVE-2023-39325용 패치로 업데이트되었습니다.
가능한 한 빨리 다음 완화 방법을 적용하고 가능한 경우 최신 패치 버전으로 업그레이드하는 것이 좋습니다. Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판을 업데이트하여 컨트롤 플레인을 업그레이드할 버전에 대한 안내를 제공하고 클러스터에서 사용 가능한 경우 GKE 보안 상황 내에서 패치를 표시되도록 합니다. 채널에 패치가 제공될 때 Pub/Sub 알림을 받으려면 클러스터 알림을 사용 설정합니다. 출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 컨트롤 플레인 액세스를 위해 승인된 네트워크를 구성하여 완화: 기존 클러스터의 승인된 네트워크를 추가할 수 있습니다. 자세한 내용은 기존 클러스터에 대해 승인된 네트워크를 참조하세요. 승인된 네트워크 외에도 GKE 컨트롤 플레인에 액세스할 수 있는 사전 설정된 IP 주소가 있습니다. 이러한 주소에 대한 자세한 내용은 컨트롤 플레인 엔드포인트에 대한 액세스를 참조하세요. 다음 항목은 클러스터 격리를 요약해서 보여줍니다.
이 패치로 어떤 취약점이 해결되나요?취약점 CVE-2023-44487을 통해 공격자가 GKE 컨트롤 플레인 노드에서 서비스 거부(Dos) 공격을 실행할 수 있습니다. |
높음 |
VMware용 GKE
업데이트: 2024년 2월 14일
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. VMware용 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 Kubernetes 클러스터를 만듭니다. 어떻게 해야 하나요?2024년 2월 14일 업데이트: 이 취약점을 해결하기 위한 코드로 다음 VMware용 GKE 버전이 업데이트되었습니다. 클러스터를 다음 패치 버전 이상으로 업그레이드합니다.
인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 VMware용 GKE Kubernetes 클러스터를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다. 가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다. Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 컨트롤 플레인을 업그레이드할 버전에 대한 안내가 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 컨트롤 플레인 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. AWS 기반 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 비공개 Kubernetes 클러스터를 만듭니다. 어떻게 해야 하나요?2024년 3월 20일 업데이트: 다음 AWS용 GKE 버전은 CVE-2023-44487용 패치로 업데이트되었습니다.
인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 AWS 기반 GKE를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다. 가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다. Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 컨트롤 플레인을 업그레이드할 버전에 대한 안내가 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 컨트롤 플레인 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. Azure 기반 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 비공개 Kubernetes 클러스터를 만듭니다. 어떻게 해야 하나요?2024년 3월 20일 업데이트: 다음 Azure용 GKE 버전은 CVE-2023-44487용 패치로 업데이트되었습니다.
인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 Azure용 GKE를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다. 가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다. Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 컨트롤 플레인을 업그레이드할 버전에 대한 안내가 업데이트됩니다.이 패치로 어떤 취약점이 해결되나요?취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 컨트롤 플레인 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다. |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 베어메탈용 Anthos는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 Kubernetes 클러스터를 만듭니다. 어떻게 해야 하나요?인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 베어메탈용 Anthos Kubernetes 클러스터를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다. 자세한 내용은 베어메탈용 GKE 보안 개요를 참조하세요. 가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다. Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 컨트롤 플레인을 업그레이드할 버전에 대한 안내가 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 컨트롤 플레인 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다. |
높음 |
GCP-2023-026
게시: 2023년 9월6일
참조: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
설명 | 심각도 |
---|---|
Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다. GKE 클러스터는 Windows 노드를 포함하는 경우에만 영향을 받습니다. 어떻게 해야 하나요?다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.
GKE 컨트롤 플레인은 2023년 9월 4일 주에 업데이트되어 csi-proxy를 버전 1.1.3으로 업데이트합니다. 컨트롤 플레인 업데이트 전에 노드를 업데이트하는 경우 새 프록시를 활용하려면 업데이트 후 노드를 다시 업데이트해야 합니다. 출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2023-3676을 사용하면 악의적인 행위자가 PowerShell 명령어를 포함하는 호스트 경로 문자열로 포드 사양을 작성할 수 있습니다. Kubelet은 입력 정리를 지원하지 않으며 명령어 실행자에게 조작된 경로 문자열을 해당 문자열 일부를 별도의 명령어로 실행하는 인수로 전달합니다. 이러한 명령어는 Kubelet과 동일한 관리 권한으로 실행됩니다. CVE-2023-3955에서 Kubelet은 포드를 만들 수 있는 사용자에게 Kubelet 에이전트와 동일한 권한 수준으로 코드를 실행할 수 있는 권한을 부여합니다. CVE-2023-3893의 경우 유사하게 입력 정리가 지원되지 않으므로 kubernetes-csi-proxy를 실행하는 Windows 노드에서 포드를 생성할 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있습니다. Kubernetes 감사 로그를 사용하여 이 취약점이 악용되고 있는지 감지할 수 있습니다. 삽입된 PowerShell 명령어를 사용한 포드 생성 이벤트는 악용을 나타내는 강력한 지표입니다. 삽입된 PowerShell 명령어를 포함하고 포드에 마운트된 ConfigMap 및 보안 비밀 역시 악용을 나타내는 강력한 지표입니다. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다. 클러스터는 Windows 노드를 포함하는 경우에만 영향을 받습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-3676을 사용하면 악의적인 행위자가 PowerShell 명령어를 포함하는 호스트 경로 문자열로 포드 사양을 조작할 수 있습니다. Kubelet은 입력 정리를 지원하지 않으며 명령어 실행자에게 조작된 경로 문자열을 해당 문자열 일부를 별도의 명령어로 실행하는 인수로 전달합니다. 이러한 명령어는 Kubelet과 동일한 관리 권한으로 실행됩니다. CVE-2023-3955에서 Kubelet은 포드를 만들 수 있는 사용자에게 Kubelet 에이전트와 동일한 권한 수준으로 코드를 실행할 수 있는 권한을 부여합니다. CVE-2023-3893의 경우 유사하게 입력 정리가 지원되지 않으므로 kubernetes-csi-proxy를 실행하는 Windows 노드에서 포드를 생성할 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있습니다. Kubernetes 감사 로그를 사용하여 이 취약점이 악용되고 있는지 감지할 수 있습니다. 삽입된 PowerShell 명령어를 사용한 포드 생성 이벤트는 악용을 나타내는 강력한 지표입니다. 삽입된 PowerShell 명령어를 포함하고 포드에 마운트된 ConfigMap 및 보안 비밀 역시 악용을 나타내는 강력한 지표입니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다. 어떻게 해야 하나요?AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다. 어떻게 해야 하나요?Azure 기반 GKE는 이러한 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다. 어떻게 해야 하나요?베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
GCP-2023-018
게시: 2023년 6월 27일
참조: CVE-2023-2235
GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. GKE Autopilot 노드에서 항상 Container-Optimized OS 노드 이미지를 사용하므로 GKE Autopilot 클러스터가 영향을 받습니다. Container-Optimized OS 노드 이미지를 실행하는 버전 1.25 이상의 GKE Standard 클러스터가 영향을 받습니다. GKE 클러스터는 Ubuntu 노드 이미지만 실행하거나 1.25 이전 버전을 실행하거나 GKE Sandbox를 사용하는 경우에는 영향을 받지 않습니다. 어떻게 해야 하나요?다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 해결되는 취약점은 무엇인가요?CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. VMware용 GKE 클러스터가 영향을 받습니다. 어떻게 해야 하나요?해결되는 취약점은 무엇인가요?CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. AWS 기반 GKE 클러스터가 영향을 받습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. Azure 기반 GKE 클러스터가 영향을 받습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다. |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. 베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. |
없음 |
GCP-2023-017
게시: 2023년 6월 26일
업데이트: 2023년 7월 11일
참조: CVE-2023-31436
2023년 7월 11일 업데이트: CVE-2023-31436 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 새 GKE 버전이 업데이트되었습니다.
GKE
업데이트: 2023년 7월 11일
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 7월 11일 업데이트: Ubuntu 패치 버전이 제공됩니다. CVE-2023-31436 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 다음 GKE 버전이 업데이트되었습니다.
다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 해결되는 취약점은 무엇인가요?CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. VMware용 GKE 클러스터가 영향을 받습니다. 어떻게 해야 하나요?해결되는 취약점은 무엇인가요?CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. AWS 기반 GKE 클러스터가 영향을 받습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Azure 기반 GKE 클러스터가 영향을 받습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다. |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. 베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. |
없음 |
GCP-2023-016
게시: 2023년 6월 26일
참조:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
CVE-2023-27491,
CVE-2023-27487
GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh(ASM)에 사용되는 Envoy에서 여러 취약점이 발견되었습니다. 각각 GCP-2023-002로 보고되었습니다. GKE는 ASM과 함께 제공되지 않으며 이러한 취약점의 영향을 받지 않습니다. 어떻게 해야 하나요?GKE 클러스터용으로 ASM을 별도로 설치했으면 GCP-2023-002를 참조하세요. |
없음 |
VMware용 GKE
설명 | 심각도 |
---|---|
VMware용 GKE의 Cloud Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점을 통해 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었지만 GKE Enterprise 고객이 ASM을 포함하는 버전을 업데이트하도록 하려고 합니다. 어떻게 해야 하나요?다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2023-27496: Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 일으킬 수 있는 요청을 생성할 수 있습니다. CVE-2023-27488: 공격자는 이 취약점을 사용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다. CVE-2023-27493: Envoy 구성에 피어 인증서 SAN과 같은 요청의 입력을 통해 생성된 요청 헤더를 추가하는 옵션도 포함되어야 합니다. CVE-2023-27492: 공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다. CVE-2023-27491: 공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 전송할 수 있습니다.
CVE-2023-27487: |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었습니다. AWS 기반 GKE는 ASM과 함께 제공되지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었습니다. Azure 기반 GKE는 ASM과 함께 제공되지 않으며 영향을 받지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
베어메탈용 GKE의 Cloud Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점을 통해 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었지만 GKE Enterprise 고객이 ASM을 포함하는 버전을 업데이트하도록 하려고 합니다. 어떻게 해야 하나요?다음 베어메탈용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 베어메탈용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2023-27496: Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 일으킬 수 있는 요청을 생성할 수 있습니다. CVE-2023-27488: 공격자는 이 취약점을 사용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다. CVE-2023-27493: Envoy 구성에 피어 인증서 SAN과 같은 요청의 입력을 통해 생성된 요청 헤더를 추가하는 옵션도 포함되어야 합니다. CVE-2023-27492: 공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다. CVE-2023-27491: 공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 전송할 수 있습니다.
CVE-2023-27487: |
높음 |
GCP-2023-015
게시: 2023년 6월 20일
참조: CVE-2023-0468
GKE
설명 | 심각도 |
---|---|
노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 해결되는 취약점은 무엇인가요?CVE-2023-0468에서 Linux 커널에 있는 io_uring 하위 구성요소의 io_poll_check_events의 io_uring/poll.c에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 NULL 포인터가 역참조될 수 있으며 시스템 비정상 종료로 인해 서비스 거부가 발생할 수 있습니다. |
보통 |
VMware용 GKE
설명 | 심각도 |
---|---|
노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다. VMware용 GKE는 Linux 커널 버전 5.4를 사용하며 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?
|
없음 |
AWS용 GKE
설명 | 심각도 |
---|---|
노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다. AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?
|
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다. Azure 기반 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?
|
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다. 베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?
|
없음 |
GCP-2023-014
게시: 2023년 6월 15일
업데이트: 2023년 8월 11일
참조: CVE-2023-2727, CVE-2023-2728
2023년 8월 11일 업데이트: VMware용 GKE, AWS 기반 GKE, Azure 기반 GKE, 베어메탈용 GKE에 대한 패치 버전이 추가되었습니다.
GKE
설명 | 심각도 |
---|---|
Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다. GKE는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다. 모든 버전의 GKE는 CVE-2023-2728에 취약할 수 있습니다.어떻게 해야 하나요?다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 해결되는 취약점은 무엇인가요?CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다. CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.
|
보통 |
VMware용 GKE
업데이트: 2023년 8월11일
설명 | 심각도 |
---|---|
Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다. VMware용 Anthos는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다. 모든 버전의 VMware용 Anthos는 CVE-2023-2728에 취약할 수 있습니다. 어떻게 해야 하나요?2023년 8월 11일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터와 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드합니다.
해결되는 취약점은 무엇인가요?CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다. CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.
|
보통 |
AWS용 GKE
업데이트: 2023년 8월11일
설명 | 심각도 |
---|---|
Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다. 어떻게 해야 하나요?2023년 8월 11일 업데이트: 다음 버전의 AWS 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전으로 업그레이드합니다.
해결되는 취약점은 무엇인가요?CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다. CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.
|
보통 |
Azure용 GKE
업데이트: 2023년 8월11일
설명 | 심각도 |
---|---|
Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다. 어떻게 해야 하나요?2023년 8월 11일 업데이트: 다음 버전의 Azure 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전으로 업그레이드합니다.
해결되는 취약점은 무엇인가요?CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다. CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.
|
보통 |
베어메탈용 GKE
업데이트: 2023년 8월11일
설명 | 심각도 |
---|---|
Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다. 어떻게 해야 하나요?2023년 8월 11일 업데이트: 다음 버전의 베어메탈용 Google Distributed Cloud Virtual는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 베어메탈용 Google Distributed Cloud Virtual 버전 중 하나로 업그레이드합니다.
해결되는 취약점은 무엇인가요?CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다. CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.
|
보통 |
GCP-2023-009
게시: 2023년 6월 6일
참조: CVE-2023-2878
GKE
설명 | 심각도 |
---|---|
드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다. 이 패치로 어떤 취약점이 해결되나요?드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다. |
없음 |
VMware용 GKE
설명 | 심각도 |
---|---|
드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. VMware용 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?VMware용 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다. 이 패치로 어떤 취약점이 해결되나요?드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다. |
없음 |
AWS용 GKE
설명 | 심각도 |
---|---|
드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?AWS 기반 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다. 이 패치로 어떤 취약점이 해결되나요?드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. Azure 기반 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?Azure 기반 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다. 이 패치로 어떤 취약점이 해결되나요?드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?베어메탈용 GKE는 영향을 받지 않지만 secrets-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다. 이 패치로 어떤 취약점이 해결되나요?드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다. |
없음 |
GCP-2023-008
게시: 2023년 6월 5일
참조: CVE-2023-1872
GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다. GKE Standard 및 Autopilot 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다. 어떻게 해야 하나요?다음 AWS 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다. 어떻게 해야 하나요?다음 Azure 기반 GKE 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다. 베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?어떤 조치도 필요하지 않습니다. |
없음 |
GCP-2023-005
게시: 2023년 5월 18일
업데이트: 2023년 6월 6일
참조: CVE-2023-1281, CVE-2023-1829
2023년 6월 6일 업데이트: CVE-2023-1281 및 CVE-2023-1829를 패치하는 최신 Ubuntu 버전이 포함되도록 새 GKE 버전이 업데이트되었습니다.
GKE
업데이트: 2023년 6월 6일
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다. GKE Standard 클러스터가 영향을 받습니다. GKE Autopilot 클러스터와 GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 6월 6일 업데이트: Ubuntu 패치 버전이 제공됩니다. CVE-2023-1281 및 CVE-2023-1829를 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 다음 GKE 버전이 업데이트되었습니다.
다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다. CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다. CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다. CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다. CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다. CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다. CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다. 어떻게 해야 하나요?이 패치로 어떤 취약점이 해결되나요?CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다. CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다. CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다. 베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?어떤 조치도 필요하지 않습니다. |
없음 |
GCP-2023-003
게시: 2023년 4월 11일
업데이트: 2023년 12월 21일
참조: CVE-2023-0240,
CVE-2023-23586
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
GKE
업데이트: 2023년 12월 21일
설명 | 심각도 |
---|---|
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Linux 커널 버전 5.10~5.10.162를 사용하는 COS가 있는 Autopilot 클러스터 등 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하거나 GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?다음 GKE 버전은 취약점이 해결되도록 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?취약점 1(CVE-2023-0240): 취약점 2(CVE-2023-23586): |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Linux 커널 버전 5.10~5.10.162를 사용하는 COS가 있는 VMware용 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하는 GKE Enterprise 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?다음 VMware용 GKE 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다.
이 패치로 어떤 취약점이 해결되나요?취약점 1(CVE-2023-0240): 취약점 2(CVE-2023-23586): |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?어떤 조치도 필요하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Azure 기반 GKE는 이러한 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?어떤 조치도 필요하지 않습니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. 베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?어떤 조치도 필요하지 않습니다. |
없음 |
GCP-2023-001
게시: 2023년 3월 1일
업데이트: 2023년 12월 21일
참조: CVE-2022-4696
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
GKE
설명 | 심각도 |
---|---|
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 클러스터와 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-4696에서는 Linux 커널의 io_uring 및 ioring_op_splice에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 로컬 권한 에스컬레이션을 만들 수 있습니다. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. v1.12 및 v1.13을 실행하는 VMware용 GKE가 영향을 받습니다. v1.14 이상을 실행하는 VMware용 GKE는 영향을 받지 않습니다. 어떻게 해야 하나요?다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-4696에서는 Linux 커널의 io_uring 및 ioring_op_splice에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 로컬 권한 에스컬레이션을 만들 수 있습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. AWS 기반 GKE는 이 취약점의 영향을 받지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. Azure 기반 GKE는 이 취약점의 영향을 받지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. 베어메탈용 GKE는 이 취약점의 영향을 받지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. |
없음 |
GCP-2022-026
게시: 2023-01-11
참조: CVE-2022-3786, CVE-2022-3602
GKE
설명 | 심각도 |
---|---|
OpenSSL v3.0.6에서 비정상 종료를 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. NVD 데이터베이스에서 높음으로 평가되었지만 GKE 엔드포인트는 boringSSL 또는 영향을 받지 않는 이전 버전의 OpenSSL을 사용하므로, GKE에 대해 평점이 보통으로 낮아졌습니다. 어떻게 해야 하나요?다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-3786 및 CVE-2022-3602를 사용하면 X.509 인증서 확인에서 버퍼 오버런이 트리거되어 비정상 종료를 초래함으로써 서비스 거부가 발생할 수 있습니다. 이 취약점을 악용하려면 CA가 악의적인 인증서에 서명했거나 신뢰할 수 있는 발급자에 대한 경로를 구성하지 못하더라도 애플리케이션이 인증서 확인을 계속 진행해야 합니다. |
보통 |
VMware용 GKE
설명 | 심각도 |
---|---|
OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. 어떻게 해야 하나요?VMware용 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다. 이 패치로 어떤 취약점이 해결되나요?어떤 조치도 필요하지 않습니다. |
없음 |
AWS용 GKE
설명 | 심각도 |
---|---|
OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. 어떻게 해야 하나요?AWS 기반 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다. 이 패치로 어떤 취약점이 해결되나요?어떤 조치도 필요하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. 어떻게 해야 하나요?Azure 기반 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다. 이 패치로 어떤 취약점이 해결되나요?어떤 조치도 필요하지 않습니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. 어떻게 해야 하나요?베어메탈용 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다. 이 패치로 어떤 취약점이 해결되나요?어떤 조치도 필요하지 않습니다. |
없음 |
GCP-2022-025
게시: 2022년 12월 21일
업데이트: 2023년 1월 19일, 2023년 12월 21일
참조: CVE-2022-2602
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있습니다.
GKE
업데이트: 2023년 1월 19일
설명 | 심각도 |
---|---|
2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 1월 19일 업데이트: 버전 1.21.14-gke.14100을 사용할 수 있습니다. 노드 풀을 이 버전 이상으로 업그레이드하세요. 다음 버전의 GKE는 향후 버전에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 악용해서 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다. VMware용 GKE 버전 1.11, 1.12, 1.13이 영향을 받습니다. 어떻게 해야 하나요?클러스터를 패치 버전으로 업그레이드합니다. 다음 VMware용 GKE 버전에 이 취약점을 해결하는 코드가 포함되어 있습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 악용해서 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다. 어떻게 해야 하나요?다음과 같은 AWS 기반 GKE의 현재 및 이전 세대 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 악용해서 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다. 어떻게 해야 하나요?다음 Azure 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 악용해서 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다. |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다. 베어메탈용 GKE는 배포판에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?어떤 조치도 필요하지 않습니다. |
없음 |
GCP-2022-024
게시: 2022년 11월 9일
업데이트: 2023년 1월 19일
참조: CVE-2022-2585, CVE-2022-2588
2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있습니다.
2022년 12월 16일 업데이트: GKE 및 VMware용 GKE의 수정된 패치 버전이 추가되었습니다.
GKE
업데이트: 2023년 1월 19일
설명 | 심각도 |
---|---|
Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 1월 19일 업데이트: 버전 1.21.14-gke.14100을 사용할 수 있습니다. 노드 풀을 이 버전 이상으로 업그레이드하세요. 2022년 12월 16일 업데이트: 출시 회귀로 인해 이전 버전의 게시판이 수정되었습니다. 노드 풀을 다음 GKE 버전 중 하나로 수동으로 업그레이드하세요.
다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.
GKE v1.22, 1.23, 1.25에 대한 업데이트가 곧 제공될 예정입니다. 보안 게시판이 출시되면 업데이트됩니다. 출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?
|
높음 |
VMware용 GKE
업데이트: 2022-12-16
설명 | 심각도 |
---|---|
Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다. VMware용 GKE 버전 1.13, 1.12, 1.11이 영향을 받습니다. 어떻게 해야 하나요?2022년 12월 16일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?
|
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다. 다음 버전의 Kubernetes on AWS가 영향을 받을 수 있습니다.
Kubernetes V1.24는 영향을 받지 않습니다. 어떻게 해야 하나요?클러스터를 다음 AWS Kubernetes 버전 중 하나로 업그레이드하는 것이 좋습니다.
해결되는 취약점은 무엇인가요?CVE-2022-2585에서는 posix CPU 타이머의 타이머를 부적절하게 정리함으로 인해 타이머가 생성되고 삭제되는 방식에 따라 use-after-free 악용이 발생할 수 있습니다. CVE-2022-2588에서는 Linux 커널의 route4_change에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 시스템을 비정상 종료할 수 있으며 이로 인해 로컬 권한 에스컬레이션이 발생할 수 있습니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다. 영향을 받을 수 있는 Azure의 Kubernetes 버전은 다음과 같습니다.
Kubernetes V1.24는 영향을 받지 않습니다. 어떻게 해야 하나요?클러스터를 다음 Azure Kubernetes 버전 중 하나로 업그레이드하는 것이 좋습니다.
해결되는 취약점은 무엇인가요?CVE-2022-2585에서는 posix CPU 타이머의 타이머를 부적절하게 정리함으로 인해 타이머가 생성되고 삭제되는 방식에 따라 use-after-free 악용이 발생할 수 있습니다. CVE-2022-2588에서는 Linux 커널의 route4_change에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 시스템을 비정상 종료할 수 있으며 이로 인해 로컬 권한 에스컬레이션이 발생할 수 있습니다. |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다. 베어메탈용 GEK 클러스터는 배포판에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다. 어떻게 해야 하나요?어떤 조치도 필요하지 않습니다. |
없음 |
GCP-2022-023
게시: 2022년 11월 4일
참조: CVE-2022-39278
GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 컨트롤 플레인을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다. 어떻게 해야 하나요?Google Kubernetes Engine(GKE)은 Istio와 함께 제공되지 않으므로 이 취약점의 영향을 받지 않습니다. 하지만 별도로 GKE 클러스터에 Cloud Service Mesh 또는 Istio를 설치한 경우 이 CVE에 대한 Cloud Service Mesh 보안 게시판 GCP-2022-020에서 자세한 내용을 참조하세요. |
없음 |
VMware용 GKE
설명 | 심각도 |
---|---|
VMware용 GKE의 Cloud Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 Istio 컨트롤 플레인을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다. 어떻게 해야 하나요?다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?
취약점 CVE-2022-39278이 있을 경우 Istio 컨트롤 플레인 |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 컨트롤 플레인을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다. 어떻게 해야 하나요?AWS 기반 GKE는 이 취약점의 영향을 받지 않으며 별도의 작업이 필요하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Cloud Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 컨트롤 플레인을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다. 어떻게 해야 하나요?Azure 기반 GKE는 이 취약점의 영향을 받지 않으므로 별도의 조치가 필요하지 않습니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
베어메탈용 GKE의 Cloud Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 Istio 컨트롤 플레인을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다. 어떻게 해야 하나요?다음 베어메탈용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 베어메탈용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?
취약점 CVE-2022-39278이 있을 경우 Istio 컨트롤 플레인 |
높음 |
GCP-2022-022-updated
게시: 2022-12-08
참조: CVE-2022-20409
GKE
업데이트: 2022년 12월 14일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다. Container-Optimized OS 버전 93 및 97을 사용하는 Autopilot 클러스터를 포함한 Google Kubernetes Engine(GKE) v1.22, v1.23, v1.24 클러스터가 영향을 받습니다. 지원되는 다른 GKE 버전은 영향을 받지 않습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2022년 12월 14일 업데이트: 출시 회귀로 인해 이전 버전의 게시판이 수정되었습니다. 노드 풀을 다음 GKE 버전 중 하나로 수동으로 업그레이드하세요.
Container-Optimized OS 버전 93 및 97을 사용하는 다음 버전의 GKE는 향후 버전에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이 기능을 사용하면 새 버전이 버전별 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-20409에서는 Linux 커널에 io_uring 하위 시스템의 io_identity_cow에 취약점이 있습니다. UAF(Use-After-Free) 취약점으로 인해 메모리 손상이 발생할 가능성이 있습니다. 로컬 공격자가 이 메모리 손상을 사용하여 서비스 거부(시스템 비정상 종료)를 일으키거나 임의 코드를 실행할 수 있습니다. |
높음 |
VMware용 GKE
업데이트: 2022년 12월 14일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다. 어떻게 해야 하나요?2022년 12월 14일 업데이트: 다음 버전의 Ubuntu용 VMware용 GKE가 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-20409에서는 Linux 커널에 io_uring 하위 시스템의 io_identity_cow에 취약점이 있습니다. UAF(Use-After-Free) 취약점으로 인해 메모리 손상이 발생할 가능성이 있습니다. 로컬 공격자가 이 메모리 손상을 사용하여 서비스 거부(시스템 비정상 종료)를 일으키거나 임의 코드를 실행할 수 있습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 권한 없는 사용자가 시스템 실행 권한으로 에스컬레이션할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. AWS 기반 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-20409에서는 Linux 커널에 io_uring 하위 시스템의 io_identity_cow에 취약점이 있습니다. UAF(Use-After-Free) 취약점으로 인해 메모리 손상이 발생할 가능성이 있습니다. 로컬 공격자가 이 메모리 손상을 사용하여 서비스 거부(시스템 비정상 종료)를 일으키거나 임의 코드를 실행할 수 있습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 권한 없는 사용자가 시스템 실행 권한으로 에스컬레이션할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. Azure 기반 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-20409에서는 Linux 커널에 io_uring 하위 시스템의 io_identity_cow에 취약점이 있습니다. UAF(Use-After-Free) 취약점으로 인해 메모리 손상이 발생할 가능성이 있습니다. 로컬 공격자가 이 메모리 손상을 사용하여 서비스 거부(시스템 비정상 종료)를 일으키거나 임의 코드를 실행할 수 있습니다. |
없음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다. 어떻게 해야 하나요?
|
없음 |
GCP-2022-021
게시: 2022년 10월 27일
업데이트: 2023년 1월 19일, 2023년 12월 21일
참조: CVE-2022-3176
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있습니다.
2022년 12월 15일 업데이트: Google Kubernetes Engine 버전 1.21.14-gke.9400은 출시 대기 중이며 더 높은 버전 번호로 대체될 수 있다는 정보가 업데이트되었습니다.
2022년 11월 21일 업데이트: VMware용 GKE, AWS 기반 GKE, Azure 기반 GKE의 패치 버전이 추가되었습니다.
GKE
업데이트: 2023년 1월 19일, 2023년 12월 21일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Container-Optimized OS 버전 89를 사용하는 Autopilot 클러스터를 포함한 Google Kubernetes Engine(GKE) v1.21 클러스터가 영향을 받습니다. 최신 버전의 GKE는 영향을 받지 않습니다. Ubuntu를 사용하는 모든 Linux 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?2023년 1월 19일 업데이트: 버전 1.21.14-gke.14100을 사용할 수 있습니다. 노드 풀을 이 버전 이상으로 업그레이드하세요. 2022년 12월 15일 업데이트: 버전 1.21.14-gke.9400은 출시 대기 중이며 더 높은 버전 번호로 대체될 수 있습니다. 해당 새 버전이 사용 가능해지면 이 문서가 업데이트됩니다. 다음 버전의 GKE는 향후 버전에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이 기능을 사용하면 새 버전이 버전별 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-3176에서는 Linux 커널의 io_uring 하위 시스템에 취약점이 있습니다. POLLFREE 처리가 누락되면 권한 에스컬레이션에 사용할 수 있는 UAF(Use-After-Free) 악용이 발생할 수 있습니다. |
높음 |
VMware용 GKE
업데이트: 2022년 11월 21일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?
2022년 11월 21일 업데이트: 다음 버전의 Ubuntu용 VMware용 GKE가 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
Ubuntu 패치가 포함된 VMware용 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 VMware용 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-3176에서는 Linux 커널의 io_uring 하위 시스템에 취약점이 있습니다. POLLFREE 처리가 누락되면 권한 에스컬레이션에 사용할 수 있는 UAF(Use-After-Free) 악용이 발생할 수 있습니다. |
높음 |
AWS용 GKE
업데이트: 2022년 11월 21일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?2022년 11월 21일 업데이트: 다음과 같은 AWS 기반 GKE의 현재 및 이전 세대 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다. 현재 세대
Ubuntu 패치가 포함된 AWS 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 AWS 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-3176에서는 Linux 커널의 io_uring 하위 시스템에 취약점이 있습니다. POLLFREE 처리가 누락되면 권한 에스컬레이션에 사용할 수 있는 UAF(Use-After-Free) 악용이 발생할 수 있습니다. |
높음 |
Azure용 GKE
업데이트: 2022년 11월 21일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?2022년 11월 21일 업데이트: 다음 버전의 Azure 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
Ubuntu 패치가 포함된 Azure 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 Azure 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-3176에서는 Linux 커널의 io_uring 하위 시스템에 취약점이 있습니다. POLLFREE 처리가 누락되면 권한 에스컬레이션에 사용할 수 있는 UAF(Use-After-Free) 악용이 발생할 수 있습니다. |
높음 |
베어메탈용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?어떤 조치도 필요하지 않습니다. 베어메탈용 GKE는 배포에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다. |
없음 |
GCP-2022-018
게시: 2022년 8월 1일
업데이트: 2022년 9월 14일, 2023년 12월 21일
참조: CVE-2022-2327
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.
2022년 9월 14일 업데이트: VMware용 GKE, AWS 기반 GKE, Azure 기반 GKE의 패치 버전이 추가되었습니다.
GKE
업데이트: 2023년 12월 21일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 기술 세부정보2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 Linux 커널 버전 5.10을 사용하는 Container-Optimized OS(COS)가 있는 Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하거나 GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 어떻게 해야 하나요?수정사항이 포함된 버전으로 GKE 클러스터를 업그레이드합니다.
COS용 Linux 노드 이미지가 해당 COS 버전을 사용하여 GKE 버전과 함께 업데이트되었습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 선택한 출시 채널에서 해당 버전이 기본 버전이 되기 전에 노드를 패치 버전으로 업그레이드할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-2327에서는 버전 5.10의 Linux 커널에 다양한 요청의 항목 유형(플래그)이 누락되는 io_uring 하위 시스템 취약점이 있습니다. 적절한 항목 유형을 지정하지 않고 이러한 요청을 사용하면 루트로의 권한 에스컬레이션이 발생할 수 있습니다. |
높음 |
VMware용 GKE
업데이트: 2022년 9월 14일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. VMware용 GKE 버전 1.10, 1.11, 1.12를 사용하는 Container-Optimized OS(COS) 이미지가 있는 클러스터가 영향을 받습니다. 어떻게 해야 하나요?2022년 9월 14일 업데이트: 다음 VMware용 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.
패치가 포함된 VMware용 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 VMware용 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-2327에서는 버전 5.10의 Linux 커널에 다양한 요청의 항목 유형(플래그)이 누락되는 io_uring 하위 시스템 취약점이 있습니다. 적절한 항목 유형을 지정하지 않고 이러한 요청을 사용하면 루트로의 권한 에스컬레이션이 발생할 수 있습니다. |
높음 |
AWS용 GKE
업데이트: 2022년 9월 14일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?2022년 9월 14일 업데이트: AWS 기반 GKE의 현재 및 이전 세대 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다. 현재 세대
이전 세대
패치가 포함된 AWS 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 AWS 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-2327에서는 버전 5.10의 Linux 커널에 다양한 요청의 항목 유형(플래그)이 누락되는 io_uring 하위 시스템 취약점이 있습니다. 적절한 항목 유형을 지정하지 않고 이러한 요청을 사용하면 루트로의 권한 에스컬레이션이 발생할 수 있습니다. |
높음 |
Azure용 GKE
업데이트: 2022년 9월 14일
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?2022년 9월 14일 업데이트: 다음 버전의 Azure 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
패치가 포함된 Azure 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 Azure 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-2327에서는 버전 5.10의 Linux 커널에 다양한 요청의 항목 유형(플래그)이 누락되는 io_uring 하위 시스템 취약점이 있습니다. 적절한 항목 유형을 지정하지 않고 이러한 요청을 사용하면 루트로의 권한 에스컬레이션이 발생할 수 있습니다. |
높음 |
베어메탈용 Google Distributed Cloud Virtual
설명 | 심각도 |
---|---|
Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 배포에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다. |
없음 |
GCP-2022-017
게시: 2022년 6월 29일
업데이트: 2022년 11월 22일
참조: CVE-2022-1786
2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드에 대한 정보가 업데이트되었습니다.
2022년 7월 21일 업데이트: VMware용 GKE COS 이미지에 영향을 주는 정보가 업데이트되었습니다.
GKE
업데이트: 2022년 11월 22일
설명 | 심각도 |
---|---|
2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드는 이러한 취약점의 영향을 받지 않습니다. Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. Container-Optimized OS를 실행하는 클러스터만 영향을 받습니다. GKE Ubuntu 버전은 커널 5.4 또는 5.15 버전을 사용하며 영향을 받지 않습니다. 어떻게 해야 하나요?다음 GKE 버전에 대한 Container-Optimized OS용 Linux 노드 이미지 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 향후 출시될 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.
최근 출시 채널 기능을 사용하면 채널을 구독 취소하지 않고 패치를 적용할 수 있습니다. 이렇게 하면 선택한 출시 채널에서 해당 버전이 기본 버전이 되기 전에 노드를 패치 버전으로 업그레이드할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-1786을 사용하면 Linux 커널의 io_uring 하위 시스템에서 use-after-free 결함이 발견되었습니다. 사용자가 링에서 제출을 완료하는 태스크가 둘 이상 있는 IORING_SETUP_IOPOLL로 링을 설정하면 로컬 사용자는 비정상 종료되거나 시스템에 대한 권한을 확대할 수 있습니다. |
높음 |
VMware용 GKE
업데이트: 2022년 7월 14일
설명 | 심각도 |
---|---|
Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?2022년 7월 21일 업데이트: 다음 VMware용 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다. COS
Ubuntu별도로 취해야 할 조치는 없습니다. VMware용 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다. |
없음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. AWS 기반 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다. |
없음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. Azure 기반 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다. |
없음 |
베어메탈용 Google Distributed Cloud Virtual
설명 | 심각도 |
---|---|
Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 배포에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다. |
없음 |
GCP-2022-016
게시: 2022년 6월 23일
업데이트: 2022년 11월 22일
참조: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
2022년 11월 22일 업데이트: Autopilot 클러스터에서 실행되는 워크로드에 대한 정보가 추가되었습니다.
2022년 7월 29일 업데이트: VMware용 GKE, AWS 기반 GKE, Azure 기반 GKE의 버전이 업데이트되었습니다.
GKE
업데이트: 2022년 11월 22일
설명 | 심각도 |
---|---|
2022년 11월 22일 업데이트: Autopilot 클러스터는 CVE-2022-29581의 영향을 받지 않지만 CVE-2022-29582 및 CVE-2022-1116에 취약합니다. 2022년 7월 29일 업데이트: GKE Sandbox를 사용하는 포드는 이 취약점에 취약하지 않습니다. Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 모든 Linux 클러스터(Container-Optimized OS 및 Ubuntu)가 영향을 받습니다. 어떻게 해야 하나요?다음 GKE버전에 대한 Container-Optimized OS와 Ubuntu의 Linux 노드 이미지 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 선택한 출시 채널에서 해당 버전이 기본 버전이 되기 전에 노드를 패치 버전으로 업그레이드할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-29582를 사용하는 경우 5.17.3 이전 버전의 Linux 커널은 io_uring 제한 시간 내에 경합 상태로 인해 use-after-free를 사용합니다. CVE-2022-29581 및 CVE-2022-1116은 로컬 공격자가 io_uring의 메모리 손상 또는 Linux 커널의 net/sched를 발생시켜 루트로 권한을 확대할 수 있는 취약점입니다. |
높음 |
VMware용 GKE
업데이트: 2022년 7월 29일
설명 | 심각도 |
---|---|
2022년 7월 29일 업데이트: 다음 VMware용 GKE 버전에는 이러한 취약점을 해결하는 코드가 포함되어 있습니다.
Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 이러한 취약점은 Container-Optimized OS와 Ubuntu 이미지의 VMware용 GKE v1.9 이상에 영향을 줍니다. 어떻게 해야 하나요?패치가 포함된 VMware용 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 Azure용 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-29582를 사용하는 경우 5.17.3 이전 버전의 Linux 커널은 io_uring 제한 시간 내에 경합 상태로 인해 use-after-free를 사용합니다. CVE-2022-29581 및 CVE-2022-1116은 로컬 공격자가 io_uring의 메모리 손상 또는 Linux 커널의 net/sched를 발생시켜 루트로 권한을 확대할 수 있는 취약점입니다. |
높음 |
AWS용 GKE
업데이트: 2022년 7월 29일
설명 | 심각도 |
---|---|
2022년 7월 29일 업데이트: 업데이트: 다음과 같은 AWS 기반 GKE의 현재 및 이전 세대 버전이 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다. 현재 세대:
Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 이러한 취약점은 모든 버전의 AWS 기반 GKE에 영향을 미칩니다. 어떻게 해야 하나요?패치가 포함된 AWS 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 AWS 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-29582를 사용하는 경우 5.17.3 이전 버전의 Linux 커널은 io_uring 제한 시간 내에 경합 상태로 인해 use-after-free를 사용합니다. CVE-2022-29581 및 CVE-2022-1116은 로컬 공격자가 io_uring의 메모리 손상 또는 Linux 커널의 net/sched를 발생시켜 루트로 권한을 확대할 수 있는 취약점입니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
2022년 7월 29일 업데이트: 업데이트: 다음 버전의 Azure 기반 GKE는 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 이러한 취약점은 모든 버전의 Azure 기반 GKE에 영향을 미칩니다. 어떻게 해야 하나요?패치가 포함된 Azure 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 Azure 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-29582를 사용하는 경우 5.17.3 이전 버전의 Linux 커널은 io_uring 제한 시간 내에 경합 상태로 인해 use-after-free를 사용합니다. CVE-2022-29581 및 CVE-2022-1116은 로컬 공격자가 io_uring의 메모리 손상 또는 Linux 커널의 net/sched를 발생시켜 루트로 권한을 확대할 수 있는 취약점입니다. |
높음 |
베어메탈용 Google Distributed Cloud Virtual
설명 | 심각도 |
---|---|
Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 배포에서 운영체제를 번들로 제공하지 않으므로 이 취약점의 영향을 받지 않습니다. |
없음 |
GCP-2022-014
게시: 2022년 4월 26일
업데이트: 2022년 11월 22일
2022년 11월 22일 업데이트: Autopilot 클러스터에서 실행되는 워크로드에 대한 정보가 추가되었습니다.
2022년 5월 12일 업데이트: AWS 기반 GKE 및 Azure 기반 GKE의 패치 버전이 업데이트되었습니다.
참조: CVE-2022-1055, CVE-2022-27666
GKE
업데이트: 2022년 11월 22일
설명 | 심각도 |
---|---|
2022년 11월 22일 업데이트: GKE Sandbox에서 실행되는 GKE Autopilot 클러스터 및 워크로드는 이러한 취약점의 영향을 받지 않습니다. Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055 및 CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 침입, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다. 기술 세부정보CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다. CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다. 어떻게 해야 하나요?다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점이 해결되도록 코드로 업데이트되었습니다. 클러스터를 다음 GKE 버전 중 하나로 업그레이드합니다.
이 패치로 어떤 취약점이 해결되나요? |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055 및 CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 침입, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다. 기술 세부정보CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다. CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다. 어떻게 해야 하나요?클러스터를 패치 버전으로 업그레이드합니다. 다음 VMware용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함됩니다.
이 패치로 어떤 취약점이 해결되나요? |
높음 |
AWS용 GKE
업데이트: 2022년 5월 12일
설명 | 심각도 |
---|---|
Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055 및 CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 침입, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다. 기술 세부정보CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다. CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다. 어떻게 해야 하나요?2022년 5월 12일 업데이트: 다음 AWS 기반 GKE의 현재 및 이전 세대 버전이 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다. 현재 세대
클러스터를 패치 버전으로 업그레이드합니다. 패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요? |
높음 |
Azure용 GKE
업데이트: 2022년 5월 12일
설명 | 심각도 |
---|---|
Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055 및 CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 침입, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다. 기술 세부정보CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다. CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다. 어떻게 해야 하나요?2022년 5월 12일 업데이트: 다음 버전의 Azure 기반 GKE는 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
클러스터를 패치 버전으로 업그레이드합니다. 패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요? |
높음 |
베어메탈용 Google Distributed Cloud Virtual
설명 | 심각도 |
---|---|
Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055 및 CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 침입, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다. 기술 세부정보CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다. CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 Linux를 패키지의 일부로 포함하지 않으므로 이 CVE의 영향을 받지 않습니다. 사용하는 노드 이미지가 CVE-2022-1055 및 CVE-2022-27666의 수정사항이 포함된 버전으로 업데이트되었는지 확인해야 합니다. 이 패치로 어떤 취약점이 해결되나요? |
높음 |
GCP-2022-013
게시: 2022년 4월 11일
업데이트: 2022년 4월 20일
참조: CVE-2022-23648
2022년 4월 22일 업데이트: 베어메탈용 Google Distributed Cloud Virtual 및 VMware용 GKE의 패치 버전이 업데이트되었습니다.
GKE
설명 | 심각도 |
---|---|
보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다. 이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 이 취약점은 기본적으로 containerd를 사용하는 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 미칩니다. 모든 GKE, Autopilot, GKE Sandbox 노드가 영향을 받습니다. 어떻게 해야 하나요?다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드를 수동으로 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. |
보통 |
VMware용 GKE
업데이트: 2022년 4월 22일
설명 | 심각도 |
---|---|
보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다. 이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 이 취약점은 containerd를 사용하는 Stackdriver가 사용 설정된 모든 VMware용 GKE에 영향을 미칩니다. VMware용 GKE 버전 1.8, 1.9, 1.10이 영향을 받습니다. 어떻게 해야 하나요?2022년 4월 22일 업데이트: 다음 VMware용 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.
다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 CVE는 IgnoreImageDefinedVolumes를 true로 설정하여 완화할 수 있습니다. |
보통 |
AWS용 GKE
설명 | 심각도 |
---|---|
보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다. 이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 모든 AWS 기반 GKE 노드가 영향을 받습니다. 어떻게 해야 하나요?다음 AWS 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다. AWS 기반 GKE(현재 세대)
AWS 기반 GKE(이전 세대)
이 CVE는 IgnoreImageDefinedVolumes를 true로 설정하여 완화할 수 있습니다. |
보통 |
Azure용 GKE
설명 | 심각도 |
---|---|
보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다. 이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 모든 Azure 기반 GKE 버전이 영향을 받습니다. 어떻게 해야 하나요?다음 Azure 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 다음과 같이 노드를 업그레이드하는 것이 좋습니다.
이 CVE는 IgnoreImageDefinedVolumes를 true로 설정하여 완화할 수 있습니다. |
보통 |
베어메탈용 Google Distributed Cloud Virtual
업데이트: 2022년 4월 22일
설명 | 심각도 |
---|---|
보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다. 이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 이 취약점은 containerd를 사용하는 모든 베어메탈용 Google Distributed Cloud Virtual에 영향을 줍니다. 베어메탈용 Google Distributed Cloud Virtual 버전 1.8, 1.9, 1.10이 영향을 받습니다. 어떻게 해야 하나요?2022년 4월 22일 업데이트: 다음 버전의 베어메탈용 Google Distributed Cloud Virtual에는 이 취약점을 해결하는 코드가 포함되어 있습니다.
다음 버전의 베어메탈용 Google Distributed Cloud Virtual는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 베어메탈용 Google Distributed Cloud Virtual 버전 중 하나로 업그레이드하는 것이 좋습니다.
이 CVE는 IgnoreImageDefinedVolumes를 true로 설정하여 완화할 수 있습니다. |
보통 |
GCP-2022-012
게시: 2022년 4월 7일
업데이트: 2022년 11월 22일
참조: CVE-2022-0847
2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드에 대한 정보가 업데이트되었습니다.
GKE
업데이트: 2022년 11월 22일
설명 | 심각도 |
---|---|
2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드는 이러한 취약점의 영향을 받지 않습니다. Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며 컨테이너 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 Container-Optimized OS 이미지(Container-Optimized OS 93 이상)를 사용하는 모든 GKE 노드 풀 버전 v1.22 이상에 영향을 미칩니다. Ubuntu OS를 사용하는 GKE 노드 풀은 영향을 받지 않습니다. 어떻게 해야 하나요?다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.
출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 다른 출시 채널의 패치 버전을 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-0847은 Linux 커널 버전 5.8에 도입된 PIPE_BUF_FLAG_CAN_MERGE 플래그와 관련이 있습니다. 이 취약점에서 새 파이프 버퍼 구조의 '플래그' 구성원에는 Linux 커널의 적절한 초기화가 없었습니다. 권한이 없는 로컬 공격자가 이 결함을 사용하여 읽기 전용 파일에서 지원하는 페이지 캐시의 페이지에 쓰고 자신의 권한을 에스컬레이션할 수 있습니다. 이 문제를 해결하는 새로운 버전의 Container-Optimized OS가 GKE의 업데이트된 노드 풀 버전에 통합되었습니다. |
높음 |
VMware용 GKE
설명 | 심각도 |
---|---|
Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며, 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 Container-Optimized OS 이미지를 위한 VMware용 GKE v1.10에 영향을 미칩니다. 현재 Ubuntu가 포함된 VMware용 GKE는 커널 버전 5.4를 사용하며 이 공격에 취약하지 않습니다. 어떻게 해야 하나요?다음 VMware용 GKE 버전의 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터와 사용자 클러스터를 다음 VMware용 GKE 버전으로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-0847은 Linux 커널 버전 5.8에 도입된 PIPE_BUF_FLAG_CAN_MERGE 플래그와 관련이 있습니다. 이 취약점에서 새 파이프 버퍼 구조의 '플래그' 구성원에는 Linux 커널의 적절한 초기화가 없었습니다. 권한이 없는 로컬 공격자가 이 결함을 사용하여 읽기 전용 파일에서 지원하는 페이지 캐시의 페이지에 쓰고 자신의 권한을 에스컬레이션할 수 있습니다. 이 문제를 해결하는 새로운 버전의 Container-Optimized OS가 VMware용 GKE의 업데이트된 버전에 통합되었습니다. |
높음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며, 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 Ubuntu 를 사용하는 AWS 기반 GKE v1.21 및 AWS 기반 GKE(이전 세대) v1.19, v1.20, v1.21에서 실행되는 클러스터에 영향을 미칩니다. 어떻게 해야 하나요?다음 AWS 기반 GKE 버전의 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리형 AWS 기반 GKE의 경우 사용자 클러스터와 노드 풀을 다음 버전 중 하나로 업그레이드하는 것이 좋습니다.
k-lite AWS 기반 GKE의 경우 AWSManagementService, AWSCluster, AWSNodePool 객체를 다음 버전으로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-0847은 Linux 커널 버전 5.8에 도입된 PIPE_BUF_FLAG_CAN_MERGE 플래그와 관련이 있습니다. 이 취약점에서 새 파이프 버퍼 구조의 '플래그' 구성원에는 Linux 커널의 적절한 초기화가 없었습니다. 권한이 없는 로컬 공격자가 이 결함을 사용하여 읽기 전용 파일에서 지원하는 페이지 캐시의 페이지에 쓰고 자신의 권한을 에스컬레이션할 수 있습니다. |
높음 |
Azure용 GKE
설명 | 심각도 |
---|---|
Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며, 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 Ubuntu를 사용하는 Azure 기반 GKE v1.21의 관리형 클러스터에 영향을 미칩니다. 어떻게 해야 하나요?다음Azure 기반 GKE 버전의 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 사용자 클러스터와 노드 풀을 다음 버전으로 업그레이드하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-0847은 Linux 커널 버전 5.8에 도입된 PIPE_BUF_FLAG_CAN_MERGE 플래그와 관련이 있습니다. 이 취약점에서 새 파이프 버퍼 구조의 '플래그' 구성원에는 Linux 커널의 적절한 초기화가 없었습니다. 권한이 없는 로컬 공격자가 이 결함을 사용하여 읽기 전용 파일에서 지원하는 페이지 캐시의 페이지에 쓰고 자신의 권한을 에스컬레이션할 수 있습니다. |
높음 |
베어메탈용 Google Distributed Cloud Virtual
설명 | 심각도 |
---|---|
Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며, 권한이 루트로 에스컬레이션될 수 있습니다. 어떻게 해야 하나요?별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 Linux를 패키지의 일부로 포함하지 않으므로 이 CVE의 영향을 받지 않습니다. 사용하는 노드 이미지가 CVE-2022-0847의 수정사항이 포함된 버전으로 업데이트되는지 확인해야 합니다. |
높음 |
GCP-2022-011
게시: 2022년 3월 22일
업데이트: 2022년 8월 11일
2022년 8월 11일 업데이트: SMT 구성 오류의 영향에 대한 세부정보가 추가되었습니다.
GKE
설명 | 심각도 |
---|---|
2022년 8월 11일 업데이트: 동시 멀티 스레딩(SMT) 구성에 대한 자세한 정보가 추가되었습니다. SMT는 사용 중지되었지만 나열된 버전에서 사용 설정되었습니다. 샌드박스 처리된 노드 풀에 수동으로 SMT를 사용 설정한 경우 이 문제가 발생하더라도 SMT는 수동으로 사용 설정된 상태를 유지합니다. GKE Sandbox 이미지에 하이퍼 스레딩이라고도 하는 동시 멀티 스레딩(SMT)이 잘못 구성되어 있습니다. 잘못된 구성으로 인해 노드가 마이크로아키텍처 데이터 샘플링(MDS)과 같은 부채널 공격에 노출될 수 있습니다. 자세한 내용은 GKE Sandbox 문서를 참조하세요. 영향을 받는 다음 버전을 사용하지 않는 것이 좋습니다.
수동으로 노드 풀에 SMT를 사용 설정한 경우 이 문제는 샌드박스 처리된 노드에 영향을 주지 않습니다. 어떻게 해야 하나요?노드를 다음 버전 중 하나로 업그레이드합니다.
이 패치로 어떤 취약점이 해결되나요?GKE Sandbox 노드는 기본적으로 SMT를 중지하여 부채널 공격을 완화합니다. |
보통 |
GCP-2022-009
게시: 2022년 3월 1일
업데이트: 2022년 3월 15일
GKE
설명 | 심각도 |
---|---|
2022년 3월 15일 업데이트: Azure 기반 GKE 및 Azure 기반 GKE에 대한 강화 가이드가 추가되었습니다. 웹훅을 사용한 지속성에 대한 섹션이 추가되었습니다. GKE Autopilot 클러스터에서 노드 VM에 액세스하기 위한 일부 예기치 않은 경로가 클러스터의 권한 승격을 위해 사용되었습니다. 이 문제는 해결되었으며 추가 조치가 필요하지 않습니다. 이 수정사항은 취약성 발견 보상 프로그램을 통해 보고된 문제를 해결합니다. GKE Standard 및 GKE 클러스터 사용자는 아래 설명에 따라 비슷한 강화 정책을 선택적으로 적용할 수 있습니다. 기술 세부정보타사 정책 예외를 사용한 호스트 액세스GKE Autopilot은 Google Cloud에서 노드 및 포드 수준 SLA를 완벽하게 관리할 수 있도록 일부 권한이 높은 Kubernetes 기본 요소를 제한하여 워크로드에서 노드 VM에 대한 낮은 수준의 액세스 권한을 갖지 못하도록 제한합니다. 컨텍스트에서 이를 설정하기 위해 GKE Standard는 기본 컴퓨팅에 대한 전체 액세스 권한을 제공하고, Autopilot은 제한된 액세스 권한을 제공하고, Cloud Run은 액세스를 제공하지 않습니다. Autopilot은 사전 정의된 타사 도구 목록에 포함된 일부 제한사항을 완화하여 고객이 별도의 수정 없이 Autopilot에서 이러한 도구를 실행할 수 있도록 합니다. 연구원은 호스트 경로 마운트를 통해 포드를 생성하는 권한을 사용하여 허용 목록에 추가된 타사 도구 중 하나처럼 보이는 포드에서 권한이 있는 컨테이너를 실행하여 호스트에 액세스할 수 있었습니다. 이 방식으로 포드를 예약하는 기능은 GKE Standard에서는 예상되지만 GKE Autopilot에서는 예상되지 않습니다. 앞서 설명한 SLA를 사용 설정하는 데 사용되는 호스트 액세스 제한을 우회했기 때문입니다. 이 문제는 타사 허용 목록 포드 사양을 강화하여 해결되었습니다. root-on-node에서 권한 에스컬레이션호스트 액세스 외에도 GKE Standard 및 Autopilot 모두에 대해 이후 이 유형의 공격을 방지하기 위한 시스템 강화 방안에 따라 최신 출시 버전에서는
2022년 3월 15일 추가: 변형 웹훅을 사용한 지속성변형 웹훅은 클러스터 성능 저하 후 권한 부여된 발판을 설정하기 위해 보고서에서 사용되었습니다. 이러한 부분은 클러스터 관리자가 생성한 Kubernetes API의 표준 부분이며, Autopilot으로 고객 정의 웹훅에 대한 지원이 추가되었을 때 관리자에게 표시되었습니다. 기본 네임스페이스에서 권한 부여된 서비스 계정Autopilot 정책 시행자는 서비스 계정에 특별한 권한을 부여하기 위해 기본 네임스페이스에서 어떻게 해야 하나요?모든 GKE Autopilot 클러스터에서 의도하지 않은 호스트 액세스를 삭제하도록 정책을 업데이트했으며 추가 조치는 필요하지 않습니다. 추가 보호 조치로 향후 몇 주 내에 Autopilot에 추가로 정책 강화가 적용될 예정입니다. 별도의 조치가 필요하지 않습니다. GKE Standard 클러스터 및 GKE 클러스터는 사용자가 이미 호스트 액세스 권한을 가지므로 영향을 받지 않습니다. GKE Standard 클러스터 및 GKE 클러스터 사용자는 시스템 강화를 위해 권한이 있는 워크로드의 자체 수정을 방지하는 Gatekeeper 정책으로 유사한 보호를 적용할 수 있습니다. 자세한 내용은 다음 강화 가이드를 참조하세요.
|
낮음 |
GCP-2022-008
게시: 2022년 2월 23일
업데이트: 2022년 4월 28일
참조:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE
설명 | 심각도 |
---|---|
Envoy 프로젝트는 최근 일련의 취약점인 CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656을 발견했으며 이 취약점은 Anthos Service Mesh, Istio-on-GKE 또는 커스텀 Istio 배포를 사용하는 GKE 클러스터에 영향을 미칠 수 있습니다. 다음에 나열된 모든 문제는 Envoy 출시 버전 1.21.1에서 해결되었습니다. 기술 배경 이 취약점에 대한 자세한 내용은 여기를 참조하세요. 어떻게 해야 하나요?Anthos Service Mesh가 실행되는 GKE 클러스터를 위 취약점에 대한 수정사항이 지원되는 버전으로 업그레이드해야 합니다.
Istio-on-GKE가 실행되는 GKE 클러스터를 위 취약점에 대한 수정사항이 지원되는 버전으로 업그레이드해야 합니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656 |
높음 |
VMware용 GKE
업데이트: 2022년 4월 28일
설명 | 심각도 |
---|---|
Envoy에서 최근에 여러 보안 취약점 수정사항을 출시했습니다. Envoy가 metrics-server와 함께 사용되므로 VMware용 GKE가 영향을 받습니다. 현재 수정 중인 Envoy CVE가 다음에 나와 있습니다. 특정 버전이 제공되면 이 게시판이 업데이트됩니다.
Istio는 최근 보안 취약점 수정사항 하나를 출시했습니다. Istio가 인그레스에 사용되므로 Anthos on VMware가 영향을 받습니다. 현재 수정 중인 Istio CVE가 다음에 나와 있습니다. 특정 버전이 제공되면 이 게시판이 업데이트됩니다. CVE-2022-23635(CVSS 점수 7.5, 높음): 특수 제작된 `authorization` 헤더가 있는 요청을 받으면 Istiod가 비정상 종료됩니다.위 CVE의 전체 설명과 영향은 보안 게시판을 참조하세요. 2022년 4월 28일 추가: 어떻게 해야 하나요?다음 VMware용 GKE 버전은 이러한 취약점을 해결합니다.
이 패치로 어떤 취약점이 해결되나요?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656 |
높음 |
베어메탈용 Google Distributed Cloud Virtual
설명 | 심각도 |
---|---|
Envoy에서 최근에 여러 보안 취약점 수정사항을 출시했습니다. Envoy가 측정항목 서버에 사용되므로 베어메탈용 Anthos이 영향을 받습니다.
1.10.3, 1.9.6, 1.8.9 출시 버전에서 현재 수정 중인 Envoy CVE는 다음에 나와 있습니다.
위 CVE의 전체 설명과 영향은 보안 게시판을 참조하세요. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656 |
높음 |
GCP-2022-006
게시: 2022년 2월 14일
업데이트: 2022년 5월 16일
2022년 5월 16일 업데이트: 이 취약점을 해결하기 위한 코드가 있는 버전 목록에 GKE 버전 1.19.16-gke.7800 이상이 추가되었습니다.
2022년 5월 12일 업데이트: GKE, 베어메탈용 Google Distributed Cloud Virtual, VMware용 GKE, AWS용 GKE의 패치 버전이 업데이트되었습니다.
2022년 2월 23일 추가 시에 AWS 기반 GKE 보안 게시판이 표시되지 않는 문제가 수정되었습니다.
GKE
설명 | 심각도 |
---|---|
Linux 커널의 어떻게 해야 하나요?2022년 5월 16일 업데이트: 2022년 5월 12일 업데이트에 언급된 GKE 버전 외에 GKE 버전 1.19.16-gke.7800 이상에도 이 취약점을 해결하는 코드가 포함되어 있습니다. 2022년 5월 12일 업데이트: 다음 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.
업데이트 2022년 2월 15일: gVisor 문이 수정되었습니다. 이 취약점은
패치는 향후 출시 버전에서 제공됩니다. 출시되면 이 게시판은 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-0492 |
낮음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Linux 커널의 어떻게 해야 하나요?2022년 5월 12일 업데이트: 다음 버전의 VMware용 GKE에는 이 취약점을 해결하는 코드가 포함되어 있습니다. COS
이 취약점은 kernel/cgroup/cgroup-v1.c 함수의 Linux 커널 cgroup_release_agent_write에서 발견되며 컨테이너 침입으로 사용될 수 있습니다. VMware용 GKE는 Ubuntu 및 COS의 기본 AppArmor 프로필의 보호로 인해 영향을 받지 않습니다. 그러나 일부 고객이 포드나 컨테이너 securityContext 필드를 수정하여(예: AppArmor 프로필 중지/변경) 포드에서 보안 제한사항을 완화한 경우 여전히 취약할 수 있으므로 권장되지 않습니다. 패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-0492 |
낮음 |
AWS용 GKE
설명 | 심각도 |
---|---|
Linux 커널의 어떻게 해야 하나요?2022년 5월 12일 업데이트: 다음 AWS 기반 GKE의 현재 및 이전 세대 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다. 현재 세대
2022년 2월 23일 업데이트: AWS 기반 GKE에 대한 메모가 추가되었습니다. AWS 기반 GKE의 이전 및 현재 세대는 Ubuntu의 기본 AppArmor 프로필에서의 보호로 인해 영향을 받지 않습니다. 그러나 일부 고객이 포드나 컨테이너 securityContext 필드를 수정하여(예: AppArmor 프로필 중지/변경) 포드에서 보안 제한사항을 완화한 경우 여전히 취약할 수 있으므로 권장되지 않습니다. 패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-0492 |
낮음 |
GKE Enterprise 사용
설명 | 심각도 |
---|---|
Linux 커널의 어떻게 해야 하나요?2022년 5월 12일 업데이트: 다음 버전의 Azure 기반 GKE에는 이 취약점을 해결하는 코드가 포함되어 있습니다.
Azure 기반 GKE는 Ubuntu의 기본 AppArmor 프로필에서의 보호로 인해 영향을 받지 않습니다. 그러나 일부 고객이 포드나 컨테이너 securityContext 필드를 수정하여(예: AppArmor 프로필 중지/변경) 포드에서 보안 제한사항을 완화한 경우 여전히 취약할 수 있으므로 권장되지 않습니다. 패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요?CVE-2022-0492 |
낮음 |
GCP-2022-005
게시: 2022년 2월 11일업데이트: 2022년 2월 15일
참조: CVE-2021-43527
GKE
설명 | 심각도 |
---|---|
2022년 2월 15일 업데이트: 원래 게시판에 언급된 일부 GKE 버전은 다른 수정사항과 결합되어 출시 전에 버전 번호가 증가했습니다. 패치는 다음 GKE 버전에서 제공됩니다.
보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 사용/구성 방식에 따라 영향을 받을 수 있습니다. GKE COS 및 Ubuntu 이미지 모두 취약한 버전이 설치되어 있으므로 패치해야 합니다. 잠재적으로 CVE-2021-43527은 NSS를 사용하여 CMS, S/MIME, PKCS#7 또는 PKCS#12 내에 인코딩된 서명을 처리하는 애플리케이션 전반에 영향을 미칠 수 있습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션도 영향을 받을 수 있습니다. 영향은 NSS의 사용/구성 방식에 따라 다릅니다. GKE는 인터넷에서 액세스 가능한 API에 libnss3을 사용하지 않습니다. Chrome OS의 최소한의 설계로 인해 소규모로 컨테이너 외부에서 실행되는 호스트 코드로 인한 영향은 적습니다. golang distroless 기본 이미지를 사용하여 컨테이너 내에서 실행되는 GKE 코드는 영향을 받지 않습니다. 어떻게 해야 하나요?다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점이 해결되도록 코드로 업데이트되었습니다. 컨트롤 플레인과 노드를 다음 GKE 버전 중 하나로 업그레이드합니다.
이 패치로 어떤 취약점이 해결되나요? |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 구성 방식에 따라 영향을 받을 수 있습니다. VMware용 GKE COS와 Ubuntu 이미지 모두에는 취약한 버전이 설치되어 있으므로 패치를 적용해야 합니다. 잠재적으로 CVE-2021-43527은 NSS를 사용하여 CMS, S/MIME, PKCS \#7 또는 PKCS \#12로 인코딩된 서명을 처리하는 애플리케이션 전반에 영향을 미칠 수 있습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션도 영향을 받을 수 있습니다. 영향은 NSS 구성/사용 방식에 따라 다릅니다. VMware용 Anthos는 공개적으로 액세스 가능한 API에 libnss3을 사용하지 않으므로 영향이 제한되며 VMware용 GKE에 대한 이 CVE 심각도는 보통으로 평가됩니다. 어떻게 해야 하나요?다음 Anthos 버전용 Linux 노드 이미지 버전은 이 취약점이 해결되도록 코드로 업데이트되었습니다. 컨트롤 플레인과 노드를 다음 Anthos 버전 중 하나로 업그레이드합니다.
1.18 이전 버전의 VMware용 GKE를 사용하고 있나요? SLA가 적용되지 않는 Anthos 버전을 사용하고 있으면 지원되는 버전 중 하나로 업그레이드하는 것이 좋습니다. 이 패치로 어떤 취약점이 해결되나요? |
보통 |
GKE Enterprise 사용
설명 | 심각도 |
---|---|
보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 사용/구성 방식에 따라 영향을 받을 수 있습니다. Azure Ubuntu 이미지의 Anthos 클러스터에는 취약한 버전이 설치되어 있으며 패치해야 합니다. 잠재적으로 CVE-2021-43527은 NSS를 사용하여 CMS, S/MIME, PKCS#7 또는 PKCS#12로 인코딩된 서명을 처리하는 애플리케이션 전반에 영향을 미칠 수 있습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션도 영향을 받을 수 있습니다. 영향은 NSS 구성/사용 방식에 따라 다릅니다. Anthos clusters on Azure는 공개적으로 액세스 가능한 API에 libnss3을 사용하지 않으므로 영향이 제한되며 Azure용 Anthos에 대한 이 CVE 심각도는 보통으로 평가됩니다. 어떻게 해야 하나요?Azure 기반 GKE 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 Azure용 Anthos 버전 중 하나로 업그레이드합니다.
이 패치로 어떤 취약점이 해결되나요? |
보통 |
GCP-2022-004
게시: 2022년 2월 4일참조: CVE-2021-4034
GKE
설명 | 심각도 |
---|---|
Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며 이 취약점을 통해 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있습니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다. 어떻게 해야 하나요?취약한 모듈인 policykit-1이 GKE에서 사용되는 COS 또는 Ubuntu 이미지에 설치되어 있지 않으므로 GKE는 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며 이 취약점을 통해 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있습니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다. GKE Enterprise 기본 구성은 이미 사용자에게 전체 'sudo' 권한을 부여하므로 이 취약점 공격으로 인해 GKE Enterprise 기존 보안 상황은 변경되지 않습니다. 기술 세부정보이 버그를 악용하려면 공격자에게 노드 파일 시스템의 두 루트가 아닌 셸이 모두 필요하고 취약한 버전의 pkexec가 설치되어 있어야 합니다. VMware용 GKE의 출시 이미지에는 policykit-1 버전이 포함되어 있지만 GKE Enterprise 기본 구성에서는 셸 액세스 권한이 이미 있는 사용자에게 비밀번호 없는 sudo를 허용합니다. 따라서 이 취약점으로 인해 이미 권한이 있는 사용자에게 더 많은 권한이 부여되지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. VMware용 GKE는 영향을 받지 않습니다. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
VMware용 GKE는 영향을 받지 않습니다. 취약 모듈인 policykit-1은 VMware용 GKE의 현재 및 이전 버전에서 사용하는 Ubuntu 이미지에 설치되지 않습니다. | 없음 |
GKE Enterprise 사용
설명 | 심각도 |
---|---|
Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며 이 취약점을 통해 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있습니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다. GKE Enterprise 기본 구성은 이미 사용자에게 전체 'sudo' 권한을 부여하므로 이 취약점 공격으로 인해 GKE Enterprise 기존 보안 상황은 변경되지 않습니다. 기술 세부정보이 버그를 악용하려면 공격자에게 노드 파일 시스템의 두 루트가 아닌 셸이 모두 필요하고 취약한 버전의 pkexec가 설치되어 있어야 합니다. Azure 기반 GKE의 출시 이미지에는 policykit-1 버전이 포함되어 있지만 Anthos 기본 구성에서는 셸 액세스 권한이 이미 있는 사용자에게 비밀번호 없는 sudo를 허용합니다. 따라서 이 취약점으로 인해 이미 권한이 있는 사용자에게 더 많은 권한이 부여되지 않습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. Azure 기반 GKE는 영향을 받지 않습니다. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
베어메탈용 Google Distributed Cloud Virtual은 고객 관리 운영체제에 설치된 패키지에 따라 영향을 받을 수 있습니다. OS 이미지를 스캔하고 필요한 경우 패치합니다. | 없음 |
GCP-2022-002
게시: 2022년 2월 1일업데이트: 2022년 3월 7일
참조: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
2022년 2월 4일 업데이트: AWS 기반 GKE 및 Azure 기반 GKE 섹션이 추가되었습니다. GKE 및 VMware용 GKE의 출시 업데이트가 추가되었습니다.
GKE
업데이트: 2022년 3월 7일
설명 | 심각도 |
---|---|
Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다. GKE Sandbox를 사용하는 포드는 이 취약점에 취약하지 않습니다. 자세한 내용은 COS 출시 노트를 참조하세요. 기술 세부정보CVE-2021-4154에서는 공격자가 CVE-2021-22600은 packet_set_ring에 있는 이중 해제 악용이며 호스트 노드로의 컨테이너 이스케이프를 발생시킵니다. CVE-2022-0185의 경우 legacy_parse_param()의 힙 오버플로 버그로 인해 범위를 벗어난 쓰기가 발생하여 컨테이너 침입이 발생할 수 있습니다. 'unshare' syscall을 사용하는 이 취약점의 악용 경로는 seccomp 필터링을 사용하여 GKE Autopilot 클러스터에서 기본적으로 차단됩니다. GKE Standard 클러스터에서 기본 컨테이너 런타임 seccomp 프로필을 수동으로 사용 설정한 사용자도 보호됩니다. 어떻게 해야 하나요?2022년 3월 7일 업데이트: 다음 GKE 버전의 Linux 노드 이미지 버전은 Ubuntu 및 COS 이미지의 모든 취약점을 해결하도록 코드로 업데이트되었습니다. 컨트롤 플레인과 노드를 다음 GKE 버전 중 하나로 업그레이드합니다.
2022년 2월 25일 업데이트: Ubuntu 노드 이미지를 사용하는 경우 1.22.6-gke.1000은 CVE-2021-22600을 해결하지 않습니다. Ubuntu 패치 버전이 제공되면 이 게시판이 업데이트됩니다. 2022년 2월 23일 업데이트: 다음 GKE 버전의 Linux 노드 이미지 버전은 이 취약점이 해결되도록 코드로 업데이트되었습니다. 클러스터를 다음 GKE 버전 중 하나로 업그레이드합니다.
2022년 2월 4일 업데이트: GKE 패치 버전의 출시 시작일은 2월 2일였습니다. 다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 GKE 버전 중 하나로 업그레이드합니다.
1.22 및 1.23 버전도 진행 중입니다. 특정 버전이 제공되면 이 게시판이 업데이트됩니다. 이 패치로 어떤 취약점이 해결되나요? |
높음 |
GKE 클러스터 사용
업데이트: 2022년 2월 23일
설명 | 심각도 |
---|---|
Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다. 자세한 내용은 COS 출시 노트를 참조하세요. 기술 세부정보CVE-2021-4154에서는 공격자가 CVE-2021-22600은 packet_set_ring에 있는 이중 해제 악용이며 호스트 노드로의 컨테이너 이스케이프를 발생시킵니다. CVE-2022-0185의 경우 legacy_parse_param()의 힙 오버플로 버그로 인해 범위를 벗어난 쓰기가 발생하여 컨테이너 침입이 발생할 수 있습니다. GKE Standard 클러스터에서 기본 컨테이너 런타임 seccomp 프로필을 수동으로 사용 설정한 사용자도 보호됩니다. 어떻게 해야 하나요?2022년 2월 23일 업데이트: 버전 1.10.2(CVE-2021-22600, CVE-2021-4154, CVE-2022-0185 수정)가 3월 1일에 예정되어 있습니다. 2022년 2월 23일 업데이트: CVE-2021-2260을 해결하는 패치 버전이 추가되었습니다. 버전 1.10.1은 CVE-2021-22600을 해결하지 않지만 다른 취약점을 해결합니다. 출시 예정인 1.9.4 및 1.10.2 버전 모두 CVE-2021-22600을 해결합니다. 다음 VMware용 GKE 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드합니다.
2022년 2월 4일 업데이트: CVE-2021-22600을 처리하지 않는 Ubuntu 이미지에 대한 정보가 추가되었습니다. 다음 VMware용 GKE 버전용 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드합니다.
이 패치로 어떤 취약점이 해결되나요? |
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다. 자세한 내용은 COS 출시 노트를 참조하세요. 기술 세부정보CVE-2021-4154에서는 공격자가 CVE-2021-22600은 packet_set_ring에 있는 이중 해제 악용이며 호스트 노드로의 컨테이너 이스케이프를 발생시킵니다. CVE-2022-0185의 경우 legacy_parse_param()의 힙 오버플로 버그로 인해 범위를 벗어난 쓰기가 발생하여 컨테이너 침입이 발생할 수 있습니다. GKE Standard 클러스터에서 기본 컨테이너 런타임 seccomp 프로필을 수동으로 사용 설정한 사용자도 보호됩니다. 어떻게 해야 하나요?AWS용 GKE다음 AWS 기반 GKE 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 AWS 기반 GKE 버전으로 업그레이드합니다.
AWS 기반 GKE(이전 세대)다음 AWS 기반 GKE(이전 세대) 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 AWS 기반 GKE(이전 세대) 버전 중 하나로 업그레이드합니다.
이 패치로 어떤 취약점이 해결되나요? |
높음 |
GKE Enterprise 사용
설명 | 심각도 |
---|---|
Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다. 자세한 내용은 COS 출시 노트를 참조하세요. 기술 세부정보CVE-2021-4154에서는 공격자가 CVE-2021-22600은 packet_set_ring에 있는 이중 해제 악용이며 호스트 노드로의 컨테이너 이스케이프를 발생시킵니다. CVE-2022-0185의 경우 legacy_parse_param()의 힙 오버플로 버그로 인해 범위를 벗어난 쓰기가 발생하여 컨테이너 침입이 발생할 수 있습니다. GKE Standard 클러스터에서 기본 컨테이너 런타임 seccomp 프로필을 수동으로 사용 설정한 사용자도 보호됩니다. 어떻게 해야 하나요?다음 Azure 기반 GKE 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 Azure 기반 GKE 버전으로 업그레이드합니다.
이 패치로 어떤 취약점이 해결되나요? |
높음 |
GCP-2021-024
게시: 2021년 10월 21일참조: CVE-2021-25742
GKE
설명 | 심각도 |
---|---|
Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에서 보안 문제가 발견되었습니다. ingress-nginx 커스텀 스니펫이 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰과 보안 비밀을 검색하도록 허용합니다. 어떻게 해야 하나요?이 보안 문제는 GKE 클러스터 인프라나 GKE Enterprise 환경 클러스터 인프라에 영향을 주지 않습니다. 워크로드 배포에서 ingress-nginx를 사용하는 경우 이 보안 문제를 알고 있어야 합니다. 자세한 내용은 ingress-nginx 문제 7837을 참조하세요. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에서 보안 문제가 발견되었습니다. ingress-nginx 커스텀 스니펫이 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰과 보안 비밀을 검색하도록 허용합니다. 어떻게 해야 하나요?이 보안 문제는 GKE 클러스터 인프라나 GKE Enterprise 환경 클러스터 인프라에 영향을 주지 않습니다. 워크로드 배포에서 ingress-nginx를 사용하는 경우 이 보안 문제를 알고 있어야 합니다. 자세한 내용은 ingress-nginx 문제 7837을 참조하세요. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에서 보안 문제가 발견되었습니다. ingress-nginx 커스텀 스니펫이 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰과 보안 비밀을 검색하도록 허용합니다. 어떻게 해야 하나요?이 보안 문제는 GKE 클러스터 인프라나 GKE Enterprise 환경 클러스터 인프라에 영향을 주지 않습니다. 워크로드 배포에서 ingress-nginx를 사용하는 경우 이 보안 문제를 알고 있어야 합니다. 자세한 내용은 ingress-nginx 문제 7837을 참조하세요. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에서 보안 문제가 발견되었습니다. ingress-nginx 커스텀 스니펫이 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰과 보안 비밀을 검색하도록 허용합니다. 어떻게 해야 하나요?이 보안 문제는 GKE 클러스터 인프라나 GKE Enterprise 환경 클러스터 인프라에 영향을 주지 않습니다. 워크로드 배포에서 ingress-nginx를 사용하는 경우 이 보안 문제를 알고 있어야 합니다. 자세한 내용은 ingress-nginx 문제 7837을 참조하세요. |
없음 |
GCP-2021-019
게시: 2021년 9월 29일GKE
설명 | 심각도 |
---|---|
해당 서비스에서 활성 Google Cloud Armor 보안 정책을 삭제하는 영향을 받는지 여부는 어떻게 확인하나요?
kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
이 문제는 다음 GKE 버전에 영향을 줍니다.
어떻게 해야 하나요?이 문제를 패치하고
이 문제는 또한 이 문제를 방지하려면
다음 샘플 매니페스트는 apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" 일반적으로 |
낮음 |
GCP-2021-022
게시: 2021년 9월 23일GKE 클러스터 사용
설명 | 심각도 |
---|---|
키 생성에 사용되는 시드 키를 예측할 수 있는 VMware용 GKE 버전 1.8 및 1.8.1의 GKE Enterprise Identity Service(AIS) LDAP 모듈에서 취약점이 발견되었습니다. 이 취약점으로 인해 인증된 사용자는 임의 클레임을 추가하고 권한을 무기한 에스컬레이션할 수 있습니다. 기술 세부정보AIS 코드에 대한 최근 추가로 인해 golang의 math/rand 모듈을 사용하는 대칭 키가 생성되었습니다. 이것은 보안에 민감한 코드에 적합하지 않습니다. 이 모듈은 예측 가능한 키를 생성하는 방식으로 사용됩니다. 본인 인증 중에는 보안 토큰 서비스(STS) 키가 생성되고, 이후 간단하게 파생할 수 있는 대칭 키로 암호화됩니다. 어떻게 해야 하나요?이 취약점은 VMware용 GKE 버전 1.8 및 1.8.1에서 AIS를 사용하는 고객에만 영향을 줍니다. VMware용 GKE 1.8 사용자의 경우 다음 버전으로 클러스터를 업그레이드합니다.
|
높음 |
GCP-2021-021
게시: 2021년 9월 22일참조: CVE-2020-8561
GKE
설명 | 심각도 |
---|---|
보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 기술 세부정보이 취약점에 따라 이 문제는 API 서버의 특정 매개변수를 변경하여 완화될 수 있습니다. 어떻게 해야 하나요?현재로서는 별도의 조치를 취하지 않으셔도 됩니다. 현재 사용 가능한 GKE 및 GKE Enterprise 버전에는 이 유형의 공격을 방어하는 다음과 같은 완화 기술이 구현되었습니다.
이 패치로 어떤 취약점이 해결되나요?<pCVE-2020-8561 </p |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 기술 세부정보이 취약점에 따라 이 문제는 API 서버의 특정 매개변수를 변경하여 완화될 수 있습니다. 어떻게 해야 하나요?현재로서는 별도의 조치를 취하지 않으셔도 됩니다. 현재 사용 가능한 GKE 및 GKE Enterprise 버전에는 이 유형의 공격을 방어하는 다음과 같은 완화 기술이 구현되었습니다.
이 패치로 어떤 취약점이 해결되나요?<pCVE-2020-8561 </p |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 기술 세부정보이 취약점에 따라 이 문제는 API 서버의 특정 매개변수를 변경하여 완화될 수 있습니다. 어떻게 해야 하나요?현재로서는 별도의 조치를 취하지 않으셔도 됩니다. 현재 사용 가능한 GKE 및 GKE Enterprise 버전에는 이 유형의 공격을 방어하는 다음과 같은 완화 기술이 구현되었습니다.
이 패치로 어떤 취약점이 해결되나요?<pCVE-2020-8561 </p |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 기술 세부정보이 취약점에 따라 이 문제는 API 서버의 특정 매개변수를 변경하여 완화될 수 있습니다. 어떻게 해야 하나요?현재로서는 별도의 조치를 취하지 않으셔도 됩니다. 현재 사용 가능한 GKE 및 GKE Enterprise 버전에는 이 유형의 공격을 방어하는 다음과 같은 완화 기술이 구현되었습니다.
이 패치로 어떤 취약점이 해결되나요?<pCVE-2020-8561 </p |
보통 |
GCP-2021-018
게시: 2021년 9월 15일업데이트: 2021년 9월 24일
참조: CVE-2021-25741
2021년 9월 24일 업데이트: 베어메탈용 GKE 게시판이 추가 패치 버전으로 업데이트되었습니다.
2021년 9월 20일 업데이트: 베어메탈용 GKE에 대한 게시판 추가
2021년 9월 16일 업데이트: VMware용 GKE에 대한 게시판 추가
GKE
설명 | 심각도 |
---|---|
Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다. 기술 세부정보:CVE-2021-25741에서 공격자는 마운트된 emptyDir에서 노드의 루트( / ) 파일 시스템에 대한 심볼릭 링크를 만들 수 있습니다. 그러면 kubelet이 심볼릭 링크를 따라 호스트 루트를 컨테이너에 마운트합니다.어떻게 해야 하나요?최신 패치를 활용하기 위해 다음 버전 이상 중 하나로 노드 풀을 업그레이드하는 것이 좋습니다.
다음 버전에는 수정 사항도 포함되어 있습니다.
|
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다. 기술 세부정보:CVE-2021-25741에서 공격자는 마운트된 emptyDir에서 노드의 루트( / ) 파일 시스템에 대한 심볼릭 링크를 만들 수 있습니다. 그러면 kubelet이 심볼릭 링크를 따라 호스트 루트를 컨테이너에 마운트합니다.어떻게 해야 하나요?2021년 9월 24일 업데이트: 패치된 버전 1.8.3 및 1.7.4를 이제 사용할 수 있습니다. 2021년 9월 17일 업데이트됨: 패치가 포함된 사용 가능한 버전 목록이 수정되었습니다. 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터 및 사용자 클러스터를 다음 버전 중 하나로 업그레이드합니다.
|
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다. 기술 세부정보:CVE-2021-25741에서 공격자는 마운트된 emptyDir에서 노드의 루트( / ) 파일 시스템에 대한 심볼릭 링크를 만들 수 있습니다. 그러면 kubelet이 심볼릭 링크를 따라 호스트 루트를 컨테이너에 마운트합니다.어떻게 해야 하나요?2021년 9월 16일 업데이트: 다음 AWS 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 다음을 수행하는 것이 좋습니다.
|
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다. 기술 세부정보:CVE-2021-25741에서 공격자는 마운트된 emptyDir에서 노드의 루트( / ) 파일 시스템에 대한 심볼릭 링크를 만들 수 있습니다. 그러면 kubelet이 심볼릭 링크를 따라 호스트 루트를 컨테이너에 마운트합니다.어떻게 해야 하나요?다음 베어메탈용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터 및 사용자 클러스터를 다음 버전 중 하나로 업그레이드합니다.
|
높음 |
GCP-2021-017
게시: 2021년 9월 1일업데이트: 2021년 9월 23일
참조: CVE-2021-33909,
CVE-2021-33910
GKE
설명 | 심각도 |
---|---|
2021년 9월 23일 업데이트GKE Sandbox 내에서 실행되는 컨테이너는 컨테이너 내부에서 발생한 공격에 대한 이 취약점의 영향을 받지 않습니다. 2021년 9월 15일 업데이트다음 GKE 버전은 취약점을 해결합니다.
Linux 커널에서 2개의 보안 취약점 CVE-2021-33909 및 CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다. 기술 세부정보:CVE-2021-33909에서 Linux 커널의 파일 시스템 레이어는 seq 버퍼 할당을 올바르게 제한하지 않으므로 정수 오버플로, 범위를 벗어난 쓰기, 루트 에스컬레이션으로 이어집니다. 어떻게 해야 하나요?다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.
|
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Linux 커널에서 2개의 보안 취약점 CVE-2021-33909 및 CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다. 기술 세부정보:CVE-2021-33909에서 Linux 커널의 파일 시스템 레이어는 seq 버퍼 할당을 올바르게 제한하지 않으므로 정수 오버플로, 범위를 벗어난 쓰기, 루트 에스컬레이션으로 이어집니다. 어떻게 해야 하나요?AWS 기반 GKE의 Linux 노드 이미지 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.
|
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Linux 커널에서 2개의 보안 취약점 CVE-2021-33909 및 CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다. 기술 세부정보:CVE-2021-33909에서 Linux 커널의 파일 시스템 레이어는 seq 버퍼 할당을 올바르게 제한하지 않으므로 정수 오버플로, 범위를 벗어난 쓰기, 루트 에스컬레이션으로 이어집니다. 어떻게 해야 하나요?VMware용 GKE의 Linux 및 COS 노드 이미지의 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.
버전 기록 - Kubernetes 및 노드 커널 버전을 참조하세요. |
높음 |
GCP-2021-015
게시: 2021년 7월 13일업데이트: 2021년 7월 15일
참조: CVE-2021-22555
GKE
설명 | 심각도 |
---|---|
기술 세부정보
이 공격에서 Linux의 어떻게 해야 하나요?GKE의 다음 Linux 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.
이 패치로 어떤 취약점이 해결되나요? |
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
기술 세부정보
이 공격에서 Linux의 어떻게 해야 하나요?다음 VMware용 GKE의 Linux 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.
이 패치로 어떤 취약점이 해결되나요? |
높음 |
GCP-2021-014
게시: 2021년 7월 5일참조: CVE-2021-34527
GKE
설명 | 심각도 |
---|---|
Microsoft는 Windows 서버에서 인쇄 스풀러에 영향을 주는 원격 코드 실행(RCE) 취약점에 대한 보안 게시글 CVE-2021-34527을 게시했습니다. CERT 조정 센터(CERT/CC)는 PrintNightmare, Critical Windows Print Spooler Vulnerability라는 Windows 인쇄 스풀러에도 영향을 주는 'PrintNightmare'라는 표현을 이용해서 관련 취약점에 대한 업데이트 정보를 게시했습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. GKE Windows 노드가 영향을 받는 스풀러 서비스를 기본 이미지의 일부로 포함하지 않으므로, GKE Windows 배포는 이 공격의 영향을 받지 않습니다. 이 게시글로 어떤 취약점이 해결되나요?
|
높음 |
GCP-2021-012
게시: 2021년 7월 1일업데이트: 2021년 7월 9일
참조: CVE-2021-34824
GKE
설명 | 심각도 |
---|---|
어떻게 해야 하나요?Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-34824)을 공개했습니다. Istio에는 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보를 여러 네임스페이스에서 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다. 기술 세부정보:Istio 보안 게이트웨이 또는 DestinationRule 사용 워크로드는 credentialName 구성을 통해 Kubernetes 보안 비밀에서 TLS 비공개 키 및 인증서를 로드할 수 있습니다. Istio 1.8 이상부터는 보안 비밀을 istiod에서 읽고 XDS를 통해 게이트웨이 및 워크로드로 전달됩니다. 일반적으로 게이트웨이 또는 워크로드 배포는 네임스페이스 내 보안 비밀에 저장된 TLS 인증서 및 비공개 키에만 액세스할 수 있습니다. 하지만 istiod의 버그로 인해 Istio XDS API에 액세스하도록 승인된 클라이언트는 istiod에 캐시된 모든 TLS 인증서와 비공개 키를 검색할 수 있습니다. 어떻게 해야 하나요?GKE 클러스터는 기본적으로 Istio를 실행하지 않으며, 사용 설정된 경우 이 공격에 취약하지 않은 Istio 버전 1.6을 사용합니다. 클러스터에서 1.8 이상으로 Istio를 설치했거나 업그레이드한 경우 지원되는 최신 버전으로 Istio를 업그레이드합니다. |
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
어떻게 해야 하나요?Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-34824)을 공개했습니다. Istio에는 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보를 여러 네임스페이스에서 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다. 기술 세부정보:Istio 보안 게이트웨이 또는 DestinationRule 사용 워크로드는 credentialName 구성을 통해 Kubernetes 보안 비밀에서 TLS 비공개 키 및 인증서를 로드할 수 있습니다. Istio 1.8 이상부터는 보안 비밀을 istiod에서 읽고 XDS를 통해 게이트웨이 및 워크로드로 전달됩니다. 일반적으로 게이트웨이 또는 워크로드 배포는 네임스페이스 내 보안 비밀에 저장된 TLS 인증서 및 비공개 키에만 액세스할 수 있습니다. 하지만 istiod의 버그로 인해 Istio XDS API에 액세스하도록 승인된 클라이언트는 istiod에 캐시된 모든 TLS 인증서와 비공개 키를 검색할 수 있습니다. 어떻게 해야 하나요?VMware용 Anthos 클러스터 v1.6 및 v1.7은 이 공격에 취약하지 않습니다. VMware용 Anthos 클러스터 v1.8이 취약합니다. VMware용 Anthos 클러스터 v1.8을 사용하는 경우 다음 패치가 적용된 버전 또는 이후 버전으로 업그레이드합니다.
|
높음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
어떻게 해야 하나요?Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-34824)을 공개했습니다. Istio에는 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보를 여러 네임스페이스에서 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다. 기술 세부정보:Istio 보안 게이트웨이 또는 DestinationRule 사용 워크로드는 credentialName 구성을 통해 Kubernetes 보안 비밀에서 TLS 비공개 키 및 인증서를 로드할 수 있습니다. Istio 1.8 이상부터는 보안 비밀을 istiod에서 읽고 XDS를 통해 게이트웨이 및 워크로드로 전달됩니다. 일반적으로 게이트웨이 또는 워크로드 배포는 네임스페이스 내 보안 비밀에 저장된 TLS 인증서 및 비공개 키에만 액세스할 수 있습니다. 하지만 istiod의 버그로 인해 Istio XDS API에 액세스하도록 승인된 클라이언트는 istiod에 캐시된 모든 TLS 인증서와 비공개 키를 검색할 수 있습니다. 베어메탈용 Anthos 클러스터 v1.8.0로 생성되었거나 업그레이드된 클러스터는 이 CVE의 영향을 받습니다. 어떻게 해야 하나요?Anthos v1.6 및 1.7은 이 공격에 취약하지 않습니다. v1.8.0 클러스터가 있으면 bmctl의 1.8.1 버전을 다운로드 및 설치하고 클러스터를 다음 패치 적용된 버전으로 업그레이드합니다.
|
높음 |
GCP-2021-011
게시: 2021년 6월 4일업데이트: 2021년 10월 19일
참조: CVE-2021-30465
2021년 10월 19일 업데이트: VMware의 GKE, AWS 기반 GKE, 베어메탈용 GKE의 게시판이 추가되었습니다.
GKE
설명 | 심각도 |
---|---|
GKE의 경우 이 취약점을 악용하기 위해서는 포드 만들기 기능이 필요하기 때문에 이 취약점의 심각도가 보통으로 지정되었습니다. 기술 세부정보
이 특정 공격에서 사용자는 단일 노드에서 심볼릭 링크로 동일한 볼륨 마운트를 공유하는 모든 여러 포드를 동시에 시작하여 경합 상태를 악용할 수 있습니다. 공격이 성공하면 포드 중 하나가 노드의 파일 시스템을 루트 권한으로 마운트합니다. 어떻게 해야 하나요?이 취약점을 해결하는 GKE 클러스터를 다음 업데이트된 버전 중 하나로 업그레이드합니다.
|
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
VMware용 GKE의 경우 이 취약점을 악용하려면 포드 만들기 기능이 필요하기 때문에 이 취약점의 심각도가 보통으로 지정되었습니다. 기술 세부정보
이 특정 공격에서 사용자는 단일 노드에서 심볼릭 링크로 동일한 볼륨 마운트를 공유하는 모든 여러 포드를 동시에 시작하여 경합 상태를 악용할 수 있습니다. 공격이 성공하면 포드 중 하나가 노드의 파일 시스템을 루트 권한으로 마운트합니다. 어떻게 해야 하나요?이 취약점을 해결하는
|
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
OS 수준 취약점이므로 AWS 기반 GKE는 취약하지 않습니다. 기술 세부정보
이 특정 공격에서 사용자는 단일 노드에서 심볼릭 링크로 동일한 볼륨 마운트를 공유하는 모든 여러 포드를 동시에 시작하여 경합 상태를 악용할 수 있습니다. 공격이 성공하면 포드 중 하나가 노드의 파일 시스템을 루트 권한으로 마운트합니다. 어떻게 해야 하나요?AWS 기반 GKE가 실행 중인 OS 버전이 업데이트된runc 패키지가 있는 최신 OS 버전으로 업그레이드되었는지 확인합니다.
|
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
OS 수준 취약점이므로 베어메탈용 GKE는 취약하지 않습니다. 기술 세부정보
이 특정 공격에서 사용자는 단일 노드에서 심볼릭 링크로 동일한 볼륨 마운트를 공유하는 모든 여러 포드를 동시에 시작하여 경합 상태를 악용할 수 있습니다. 공격이 성공하면 포드 중 하나가 노드의 파일 시스템을 루트 권한으로 마운트합니다. 어떻게 해야 하나요?
베어메탈용 Google Distributed Cloud Virtual이 실행 중인 OS 버전이 업데이트된 |
없음 |
GCP-2021-006
게시: 2021년 5월 11일참조: CVE-2021-31920
GKE
설명 | 심각도 |
---|---|
Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-31920)을 공개했습니다. Istio에는 슬래시 또는 이스케이프된 슬래시 문자가 여러 개 있는 HTTP 요청이 경로 기반 승인 규칙을 사용할 때 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다. 어떻게 해야 하나요?GKE 클러스터를 업데이트하고 다시 구성하는 것이 좋습니다. 취약점을 성공적으로 해결하려면 다음 두 단계를 완료해야 합니다.
|
높음 |
GCP-2021-004
게시: 2021년 5월 6일참조: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
설명 | 심각도 |
---|---|
Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 새로운 몇 가지 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다. GKE 클러스터는 기본적으로 Istio를 실행하지 않으므로 취약하지 않습니다. Istio가 클러스터에 설치되고 인터넷에 서비스를 노출하도록 구성된 경우 서비스는 서비스 거부에 취약할 수 있습니다. 어떻게 해야 하나요?이 취약점을 해결하려면 다음 패치 버전 중 하나로 GKE 컨트롤 플레인을 업그레이드합니다.
|
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 새로운 몇 가지 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다. VMware용 GKE는 기본적으로 Envoy를 인그레스에 사용하므로 인그레스 서비스는 서비스 거부에 취약할 수 있습니다. 어떻게 해야 하나요?이러한 취약점을 해결하려면 VMware용 GKE를 출시되는 다음 패치 버전 중 하나로 업그레이드하세요.
|
보통 |
GKE 클러스터 사용
업데이트: 2021년 5월 6일
설명 | 심각도 |
---|---|
Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 새로운 몇 가지 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다. 베어메탈용 Google Distributed Cloud Virtual은 기본적으로 Envoy를 인그레스에 사용하므로 인그레스 서비스가 서비스 거부에 취약할 수 있습니다. 어떻게 해야 하나요?이러한 취약점을 해결하려면 베어메탈용 Google Distributed Cloud Virtual 클러스터를 출시되는 경우 다음 패치 버전 중 하나로 업그레이드하세요.
|
보통 |
GCP-2021-003
게시: 2021년 4월 19일참조: CVE-2021-25735
GKE
설명 | 심각도 |
---|---|
Kubernetes 프로젝트는 최근에 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 새로운 보안 취약점( CVE-2021-25735)을 발표했습니다. 공격자가 충분한 권한을 가지고 있고 이전 어떻게 해야 하나요?이 취약점을 해결하려면 GKE 클러스터를 다음 패치 버전 중 하나로 업그레이드합니다.
|
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes 프로젝트는 최근에 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 새로운 보안 취약점( CVE-2021-25735)을 발표했습니다. 공격자가 충분한 권한을 가지고 있고 이전 어떻게 해야 하나요?출시 예정인 패치 버전에 이 취약점의 완화 방법이 포함됩니다. |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes 프로젝트는 최근에 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 새로운 보안 취약점( CVE-2021-25735)을 발표했습니다. 공격자가 충분한 권한을 가지고 있고 이전 어떻게 해야 하나요?출시 예정인 패치 버전에 이 취약점의 완화 방법이 포함됩니다. |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes 프로젝트는 최근에 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 새로운 보안 취약점( CVE-2021-25735)을 발표했습니다. 공격자가 충분한 권한을 가지고 있고 이전 어떻게 해야 하나요?출시 예정인 패치 버전에 이 취약점의 완화 방법이 포함됩니다. |
보통 |
GCP-2021-001
게시: 2021년 1월 28일참조: CVE-2021-3156
GKE
설명 | 심각도 |
---|---|
CVE-2021-3156의 설명대로 최근 Linux 유틸리티 Google Kubernetes Engine(GKE) 클러스터는 이 취약점의 영향을 받지 않습니다.
어떻게 해야 하나요?GKE 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요 없습니다. GKE는 이 취약점에 대한 패치를 정기적으로 다음 출시 버전에 적용합니다. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
CVE-2021-3156의 설명대로 최근 Linux 유틸리티 VMware용 GKE는 이 취약점의 영향을 받지 않습니다.
어떻게 해야 하나요?VMware용 GKE 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다. VMware용 GKE에는 이 취약점에 대한 패치를 정기적으로 다음 출시 버전에 적용합니다. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
CVE-2021-3156의 설명대로 최근 Linux 유틸리티 AWS 기반 GKE는 이 취약점의 영향을 받지 않습니다.
어떻게 해야 하나요?AWS 기반 GKE 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다. AWS 기반 GKE는 이 취약점에 대한 패치를 정기적으로 다음 출시 버전에 적용합니다. |
없음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
CVE-2021-3156의 설명대로 최근 Linux 유틸리티 베어메탈용 Google Distributed Cloud Virtual 클러스터는 이 취약점의 영향을 받지 않습니다.
어떻게 해야 하나요?베어메탈용 Google Distributed Cloud Virtual 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다. 베어메탈용 Google Distributed Cloud Virtual은 다음 정기 버전 출시 시점에 이 취약점에 대한 패치가 적용됩니다. |
없음 |
GCP-2020-015
게시: 2020년 12월 7일업데이트: 2021년 12월 22일
참조: CVE-2020-8554
2021년 12월 22일 업데이트: gcloud
명령어 대신 gcloud beta
를 사용합니다.
2021년 12월 15일 업데이트: GKE의 추가 완화 기능이 추가되었습니다.
GKE
설명 | 심각도 |
---|---|
업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud 명령어 대신 gcloud beta 를 사용해야 합니다.
gcloud beta container clusters update –no-enable-service-externalips 업데이트: 2021-12-15 GKE에서 다음 완화 방법이 제공됩니다.
자세한 내용은 클러스터 보안 강화를 참조하세요. Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점(CVE-2020-8554)은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 수 있는 권한을 얻은 공격자가 클러스터의 다른 포드에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다. 이 취약점 자체는 공격자에게 Kubernetes 서비스를 만들 수 있는 권한을 부여하지 않습니다. 모든 Google Kubernetes Engine(GKE) 클러스터는 이 취약점의 영향을 받습니다. 어떻게 해야 하나요?Kubernetes는 취약점이 해결되도록 향후 버전에서 이전 버전과 호환되지 않는 디자인을 변경해야 할 수 있습니다. 여러 사용자가 서비스(예: 멀티 테넌트 클러스터)를 만들 수 있는 권한으로 클러스터에 대한 액세스 권한을 공유하는 경우 그동안 완화 방법을 적용하는 것이 좋습니다. 현재 최선의 완화 방법은 클러스터에서 ExternalIP 사용을 제한하는 것입니다. ExternalIP는 일반적으로 사용되는 기능이 아닙니다. 다음 방법 중 하나를 사용하여 클러스터에서 ExternalIP 사용을 제한합니다.
Kubernetes 공지의 설명대로 LoadBalancer 유형의 서비스에는 완화 방법이 제공되지 않습니다. 기본적으로 높은 권한이 있는 사용자와 시스템 구성요소에만 이 취약점을 활용하는 데 필요한 |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud 명령어 대신 gcloud beta 를 사용해야 합니다.
gcloud beta container clusters update –no-enable-service-externalips 업데이트: 2021-12-15 GKE에서 다음 완화 방법이 제공됩니다.
자세한 내용은 클러스터 보안 강화를 참조하세요. Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점(CVE-2020-8554)은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 수 있는 권한을 얻은 공격자가 클러스터의 다른 포드에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다. 이 취약점 자체는 공격자에게 Kubernetes 서비스를 만들 수 있는 권한을 부여하지 않습니다. 모든 VMware용 GKE는 이 취약점의 영향을 받습니다. 어떻게 해야 하나요?Kubernetes는 취약점이 해결되도록 향후 버전에서 이전 버전과 호환되지 않는 디자인을 변경해야 할 수 있습니다. 여러 사용자가 서비스(예: 멀티 테넌트 클러스터)를 만들 수 있는 권한으로 클러스터에 대한 액세스 권한을 공유하는 경우 그동안 완화 방법을 적용하는 것이 좋습니다. 현재 최선의 완화 방법은 클러스터에서 ExternalIP 사용을 제한하는 것입니다. ExternalIP는 일반적으로 사용되는 기능이 아닙니다. 다음 방법 중 하나를 사용하여 클러스터에서 ExternalIP 사용을 제한합니다.
Kubernetes 공지의 설명대로 LoadBalancer 유형의 서비스에는 완화 방법이 제공되지 않습니다. 기본적으로 높은 권한이 있는 사용자와 시스템 구성요소에만 이 취약점을 활용하는 데 필요한 |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud 명령어 대신 gcloud beta 를 사용해야 합니다.
gcloud beta container clusters update –no-enable-service-externalips 업데이트: 2021-12-15 GKE에서 다음 완화 방법이 제공됩니다.
자세한 내용은 클러스터 보안 강화를 참조하세요. Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점(CVE-2020-8554)은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 수 있는 권한을 얻은 공격자가 클러스터의 다른 포드에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다. 이 취약점 자체는 공격자에게 Kubernetes 서비스를 만들 수 있는 권한을 부여하지 않습니다. 모든 AWS 기반 GKE는 이 취약점의 영향을 받습니다. 어떻게 해야 하나요?Kubernetes는 취약점이 해결되도록 향후 버전에서 이전 버전과 호환되지 않는 디자인을 변경해야 할 수 있습니다. 여러 사용자가 서비스(예: 멀티 테넌트 클러스터)를 만들 수 있는 권한으로 클러스터에 대한 액세스 권한을 공유하는 경우 그동안 완화 방법을 적용하는 것이 좋습니다. 현재 최선의 완화 방법은 클러스터에서 ExternalIP 사용을 제한하는 것입니다. ExternalIP는 일반적으로 사용되는 기능이 아닙니다. 다음 방법 중 하나를 사용하여 클러스터에서 ExternalIP 사용을 제한합니다.
Kubernetes 공지의 설명대로 LoadBalancer 유형의 서비스에는 완화 방법이 제공되지 않습니다. 기본적으로 높은 권한이 있는 사용자와 시스템 구성요소에만 이 취약점을 활용하는 데 필요한 |
보통 |
GCP-2020-014
게시: 2020년 10월 20일참조: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
업데이트: 2020년 10월 20일
설명 | 심각도 |
---|---|
Kubernetes 프로젝트는 최근에 상세 로깅 옵션이 사용 설정되면 보안 비밀 데이터가 노출될 수 있는 여러 문제를 발견했습니다. 문제는 다음과 같습니다.
GKE는 영향을 받지 않습니다. 어떻게 해야 하나요?GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다. |
없음 |
GKE 클러스터 사용
업데이트: 2020년 10월 10일
설명 | 심각도 |
---|---|
Kubernetes 프로젝트는 최근에 상세 로깅 옵션이 사용 설정되면 보안 비밀 데이터가 노출될 수 있는 여러 문제를 발견했습니다. 문제는 다음과 같습니다.
VMware용 GKE는 영향을 받지 않습니다. 어떻게 해야 하나요?GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다. |
없음 |
GKE 클러스터 사용
업데이트: 2020년 10월 20일
설명 | 심각도 |
---|---|
Kubernetes 프로젝트는 최근에 상세 로깅 옵션이 사용 설정되면 보안 비밀 데이터가 노출될 수 있는 여러 문제를 발견했습니다. 문제는 다음과 같습니다.
AWS 기반 GKE는 영향을 받지 않습니다. 어떻게 해야 하나요?GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다. |
없음 |
GCP-2020-012
게시: 2020년 9월 14일참조: CVE-2020-14386
GKE
설명 | 심각도 |
---|---|
CVE-2020-14386의 설명대로 최근에 Linux 커널에서 컨테이너 이스케이프가 호스트 노드의 루트 권한을 얻을 수 있는 취약점이 발견되었습니다. 모든 GKE 노드가 영향을 받습니다. GKE Sandbox에서 실행되는 포드는 이 취약점을 활용할 수 없습니다. 어떻게 해야 하나요?이 취약점을 해결하려면 컨트롤 플레인을 업그레이드한 후 노드를 다음 패치 버전 중 하나로 업그레이드합니다.
이 취약점을 악용하려면 다음 메서드 중 하나를 사용하여 컨테이너에서
이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화됩니다.
|
높음 |
GKE 클러스터 사용
업데이트: 2020년 9월 17일
설명 | 심각도 |
---|---|
CVE-2020-14386의 설명대로 최근에 Linux 커널에서 컨테이너 이스케이프가 호스트 노드의 루트 권한을 얻을 수 있는 취약점이 발견되었습니다. 모든 VMware 용 GKE 노드가 영향을 받습니다. 어떻게 해야 하나요?이 취약점을 해결하려면 클러스터를 패치 버전으로 업그레이드합니다. 출시 예정인 다음 {gke_on_prem_name}} 버전에는 이 취약점의 수정 사항이 포함되며 수정 버전을 사용할 수 있게 되면 이 게시판이 업데이트됩니다.
이 취약점을 악용하려면 다음 메서드 중 하나를 사용하여 컨테이너에서
이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화됩니다.
|
높음 |
GKE 클러스터 사용
업데이트: 2020년 10월 13일
설명 | 심각도 |
---|---|
CVE-2020-14386의 설명대로 최근에 Linux 커널에서 컨테이너 이스케이프가 호스트 노드의 루트 권한을 얻을 수 있는 취약점이 발견되었습니다. 모든 AWS용 GKE 노드가 영향을 받습니다. 어떻게 해야 하나요?이 취약점을 해결하려면 관리 서비스와 사용자 클러스터를 패치 버전으로 업그레이드합니다. 다음 AWS 기반 GKE 이상 버전에는 이 취약점의 수정 사항이 포함되며, 수정 버전을 사용할 수 있게 되면 이 게시판이 업데이트됩니다.
다음 메서드 중 하나를 사용하여 컨테이너에서
이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화됩니다.
|
높음 |
GCP-2020-011
게시: 2020년 7월 24일참조: CVE-2020-8558
GKE
설명 | 심각도 |
---|---|
네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. 포드 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다. GKE 클러스터에서 이 취약점을 악용하려면 공격자에게 클러스터의 VPC를 호스팅하는 Google Cloud에서 네트워크 관리자 권한이 있어야 합니다. 이 취약점만으로는 공격자에게 네트워크 관리자 권한이 부여되지 않습니다. 이러한 이유로 이 취약점은 GKE에서 심각도 낮음으로 지정되었습니다. 어떻게 해야 하나요?이 취약점을 해결하려면 클러스터의 노드 풀을 다음 GKE 버전(및 이상)으로 업그레이드하세요.
이 패치로 어떤 취약점이 해결되나요?이 패치는 CVE-2020-8558 취약점을 해결합니다. |
낮음 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. 포드 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다. 어떻게 해야 하나요?이 취약점을 해결하려면 클러스터를 패치 버전으로 업그레이드하세요. 다음 VMware용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함됩니다.
이 패치로 어떤 취약점이 해결되나요?이 패치는 CVE-2020-8558 취약점을 해결합니다. |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. 포드 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다. 사용자 클러스터에서 이 취약점을 악용하려면 공격자가 클러스터의 EC2 인스턴스에서 소스 대상 검사를 중지해야 합니다. 이 경우 공격자에게 EC2 인스턴스의 어떻게 해야 하나요?이 취약점을 해결하려면 클러스터를 패치 버전으로 업그레이드하세요. 다음 AWS용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함될 예정입니다.
이 패치로 어떤 취약점이 해결되나요?이 패치는 CVE-2020-8558 취약점을 해결합니다. |
낮음 |
GCP-2020-009
게시: 2020년 7월 15일참조: CVE-2020-8559
GKE
설명 | 심각도 |
---|---|
권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다. 공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다. 어떻게 해야 하나요?클러스터를 패치 버전으로 업그레이드합니다. 클러스터는 다음 주에 자동 업그레이드되며 패치 버전은 2020년 7월 19일까지 빠른 수동 업그레이드 일정에 따라 제공될 예정입니다. 이 취약점의 수정사항이 포함된 GKE 컨트롤 플레인 버전은 다음과 같습니다.
이 패치로 어떤 취약점이 해결되나요?이러한 패치는 CVE-2020-8559 취약점을 완화합니다. 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 공격자가 클러스터, 노드, 워크로드에 대한 정보를 직접 제공하여 기존의 손상된 노드 외에 이 공격을 효과적으로 이용해야 하기 때문입니다. 이 취약점 자체는 공격자에게 손상된 노드를 제공하지 않습니다. |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다. 공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다. 어떻게 해야 하나요?클러스터를 패치 버전으로 업그레이드합니다. 다음 VMware용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함됩니다.
이 패치로 어떤 취약점이 해결되나요?이러한 패치는 CVE-2020-8559 취약점을 완화합니다. 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 공격자가 클러스터, 노드, 워크로드에 대한 정보를 직접 제공하여 기존의 손상된 노드 외에 이 공격을 효과적으로 이용해야 하기 때문입니다. 이 취약점 자체는 공격자에게 손상된 노드를 제공하지 않습니다. |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다. 공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다. 어떻게 해야 하나요?AWS용 GKE GA(1.4.1, 2020년 7월 말 제공) 이상 버전에는 이 취약점의 패치가 포함됩니다. 이전 버전을 사용하는 경우 anthos-gke 명령줄 도구의 새 버전을 다운로드하고 관리 및 사용자 클러스터를 다시 만듭니다. 이 패치로 어떤 취약점이 해결되나요?이러한 패치는 CVE-2020-8559 취약점을 완화합니다. 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 공격자가 클러스터, 노드, 워크로드에 대한 정보를 직접 제공하여 기존의 손상된 노드 외에 이 공격을 효과적으로 이용해야 하기 때문입니다. 이 취약점 자체는 공격자에게 손상된 노드를 제공하지 않습니다. |
보통 |
GCP-2020-007
게시: 2020년 6월 1일참조: CVE-2020-8555
GKE
설명 | 심각도 |
---|---|
서버 측 요청 위조(SSRF) 취약점(CVE-2020-8555)이 최근 Kubernetes에서 감지되었습니다. 승인된 특정 사용자가 컨트롤 플레인 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있는 취약점 입니다. Google Kubernetes Engine(GKE) 컨트롤 플레인은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 아래의 세부정보를 참고하여 컨트롤 플레인을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다. 어떻게 해야 하나요?대부분 고객의 경우 추가 조치는 필요하지 않습니다. 대다수의 클러스터가 이미 패치 버전을 실행하고 있습니다. 이 취약점의 수정사항이 포함된 GKE 버전은 다음과 같습니다.
출시 채널을 사용하는 클러스터는 이미 완화책이 적용된 컨트롤 플레인 버전으로 업그레이드되었습니다. 이 패치로 어떤 취약점이 해결되나요?이러한 패치는 CVE-2020-8555 취약점을 완화합니다. 악용을 방지하기 위한 여러 컨트롤 플레인 강화 조치로 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 특정 볼륨 유형(GlusterFS, Quobyte, StorageFS, ScaleIO)이 내장된 포드 생성 또는 StorageClass 생성 권한을 보유한 공격자는 마스터의 호스트 네트워크에서 요청 본문을 제어하지 않아도 로그처럼 |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
서버 측 요청 위조(SSRF) 취약점(CVE-2020-8555)이 최근 Kubernetes에서 감지되었습니다. 승인된 특정 사용자가 컨트롤 플레인 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있는 취약점 입니다. Google Kubernetes Engine(GKE) 컨트롤 플레인은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 다음 세부정보를 참조하여 컨트롤 플레인을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다. 어떻게 해야 하나요?다음 VMware용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함됩니다.
이전 버전을 사용하는 경우 수정사항이 포함된 버전으로 기존 클러스터를 업그레이드합니다. 이 패치로 어떤 취약점이 해결되나요?이러한 패치는 CVE-2020-8555 취약점을 완화합니다. 악용을 방지하기 위한 여러 컨트롤 플레인 강화 조치로 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 특정 볼륨 유형(GlusterFS, Quobyte, StorageFS, ScaleIO)이 내장된 포드 생성 또는 StorageClass 생성 권한을 보유한 공격자는 마스터의 호스트 네트워크에서 요청 본문을 제어하지 않아도 로그처럼 |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
서버 측 요청 위조(SSRF) 취약점(CVE-2020-8555)이 최근 Kubernetes에서 감지되었습니다. 승인된 특정 사용자가 컨트롤 플레인 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있는 취약점 입니다. Google Kubernetes Engine(GKE) 컨트롤 플레인은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 다음 세부정보를 참조하여 컨트롤 플레인을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다. 어떻게 해야 하나요?AWS용 GKE v0.2.0 이상 버전에는 이 취약점의 패치가 포함되어 있습니다. 이전 버전을 사용하는 경우 anthos-gke 명령줄 도구의 새 버전을 다운로드하고 관리 및 사용자 클러스터를 다시 만듭니다. 이 패치로 어떤 취약점이 해결되나요?이러한 패치는 CVE-2020-8555 취약점을 완화합니다. 악용을 방지하기 위한 여러 컨트롤 플레인 강화 조치로 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 특정 볼륨 유형(GlusterFS, Quobyte, StorageFS, ScaleIO)이 내장된 포드 생성 또는 StorageClass 생성 권한을 보유한 공격자는 마스터의 호스트 네트워크에서 요청 본문을 제어하지 않아도 로그처럼 |
보통 |
GCP-2020-006
게시: 2020년 6월 1일참조: Kubernetes 문제 91507
GKE
설명 | 심각도 |
---|---|
Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 이 취약점은 모든 Google Kubernetes Engine(GKE) 노드에 영향을 미치므로 다음 세부정보를 참조하여 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 어떻게 해야 하나요?이 취약점을 완화하려면 컨트롤 플레인을 업그레이드한 후 노드를 아래에 나온 패치 버전 중 하나로 업그레이드하세요. 출시 채널의 클러스터는 이미 컨트롤 플레인과 노드에서 이러한 패치 버전을 실행하고 있습니다.
일반적으로 다음 메서드 중 하나를 사용하여 컨테이너에서
이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화됩니다. Kubernetes 문제 91507에는 노드에서 악성 IPv6 스택을 구성하고 노드 트래픽을 공격자가 제어하는 컨테이너로 리디렉션할 수 있는 |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 이 취약점은 모든 Google Kubernetes Engine(GKE) 노드에 영향을 미치므로 다음 세부정보를 참조하여 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 어떻게 해야 하나요?VMware용 GKE의 이 취약점을 완화하려면 다음 이상 버전으로 클러스터를 업그레이드합니다.
일반적으로 다음 메서드 중 하나를 사용하여 컨테이너에서
이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화됩니다. Kubernetes 문제 91507에는 노드에서 악성 IPv6 스택을 구성하고 노드 트래픽을 공격자가 제어하는 컨테이너로 리디렉션할 수 있는 |
보통 |
GKE 클러스터 사용
설명 | 심각도 |
---|---|
Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 이 취약점은 모든 Google Kubernetes Engine(GKE) 노드에 영향을 미치므로 다음 세부정보를 참조하여 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 어떻게 해야 하나요?다음 최신 버전의 anthos-gke 명령줄 도구를 다운로드하고 관리 및 사용자 클러스터를 다시 만듭니다.
일반적으로 다음 메서드 중 하나를 사용하여 컨테이너에서
이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화됩니다. Kubernetes 문제 91507에는 노드에서 악성 IPv6 스택을 구성하고 노드 트래픽을 공격자가 제어하는 컨테이너로 리디렉션할 수 있는 |
보통 |
GCP-2020-005
게시: 2020년 5월 7일업데이트: 2020년 5월 7일
참조: CVE-2020-8835
GKE
설명 | 심각도 |
---|---|
CVE-2020-8835에 설명된 바와 같이 최근 Linux 커널에서 취약점이 발견되었으며, 이 취약점은 컨테이너 이스케이프가 호스트 노드의 루트 권한을 확보할 수 있다는 문제를 안고 있습니다. GKE 1.16 또는 1.17을 실행하는 Google Kubernetes Engine (GKE) Ubuntu 노드가 이 취약점의 영향을 받으며, 아래의 세부정보에 따라 최대한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다. Container-Optimized OS를 실행하는 노드는 영향을 받지 않습니다. VMware용 GKE를 실행하는 노드는 영향을 받지 않습니다. 어떻게 해야 하나요?대부분 고객의 경우 추가 조치는 필요하지 않습니다. GKE 버전 1.16 또는 1.17의 Ubuntu를 실행하는 노드만 영향을 받습니다. 노드를 업그레이드하려면 먼저 마스터를 최신 버전으로 업그레이드해야 합니다. 이 패치는 Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 및 그 이상의 출시 버전에서 제공됩니다. 출시 노트에서 이 패치의 가용성을 추적할 수 있습니다. 이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화됩니다. CVE-2020-8835는 악성 컨테이너가 실행 형태인 사용자 상호작용이 최소화된 상태로 커널 메모리를 읽고 쓸 수 있게 하여 호스트 노드에서 루트 수준의 코드 실행을 획득할 수 있는 Linux 커널 버전 5.5.0 이상의 취약점을 설명합니다. 이 문제는 '높음' 등급의 취약점으로 분류됩니다. |
높음 |
GCP-2020-004
게시: 2020년 5월 7일업데이트: 2020년 5월 7일
참조: CVE-2019-11254
GKE 클러스터 사용
설명 | 심각도 |
---|---|
CVE-2019-11254에 설명된 바와 같이 최근 Kubernetes에서 취약점이 발견되었으며, 이 취약점에는 POST 요청 권한이 있는 모든 사용자가 Kubernetes API 서버에서 원격으로 DoS 공격을 실행할 수 있다는 문제가 있습니다. Kubernetes Product Security Committee(PSC)에서 공개한 이 취약점에 관한 추가 정보는 여기에서 확인할 수 있습니다. Kubernetes API 서버에 대한 네트워크 액세스 권한을 갖는 클라이언트를 제한하는 방식으로 이 취약점을 완화할 수 있습니다. 어떻게 해야 하나요?이 취약점에 대한 수정사항이 포함된 패치 버전으로 업그레이드하는 것이 좋습니다. 수정사항이 포함된 패치 버전은 아래와 같습니다.
이 패치로 어떤 취약점이 해결되나요?이 패치는 다음 서비스 거부(DoS) 취약점을 해결합니다. |
보통 |
GCP-2020-003
게시: 2020년 3월 31일업데이트: 2020년 3월 31일
참조: CVE-2019-11254
GKE
설명 | 심각도 |
---|---|
CVE-2019-11254에 설명된 바와 같이 최근 Kubernetes에서 취약점이 발견되었으며, 이 취약점에는 POST 요청 권한이 있는 모든 사용자가 Kubernetes API 서버에서 원격으로 DoS 공격을 실행할 수 있다는 문제가 있습니다. Kubernetes Product Security Committee(PSC)에서 공개한 이 취약점에 관한 추가 정보는 여기에서 확인할 수 있습니다. 마스터 승인 네트워크와 공개 엔드포인트가 없는 비공개 클러스터를 사용하는 GKE 클러스터는 이 취약점을 완화합니다. 어떻게 해야 하나요?이 취약점의 수정사항이 포함된 패치 버전으로 클러스터를 업그레이드하는 것이 좋습니다. 수정사항이 포함된 패치 버전은 아래와 같습니다.
이 패치로 어떤 취약점이 해결되나요?이 패치는 다음 서비스 거부(DoS) 취약점을 해결합니다. |
보통 |
GCP-2020-002
게시: 2020년 3월 23일업데이트: 2020년 3월 23일
참조: CVE-2020-8551, CVE-2020-8552
GKE
설명 | 심각도 |
---|---|
Kubernetes는 각각 API 서버와 Kubelet에 영향을 미치는 2개의 서비스 거부 취약점을 공개했습니다. 자세한 내용은 Kubernetes 문제: 89377 및 89378을 참조하세요. 어떻게 해야 하나요?신뢰할 수 없는 사용자가 클러스터의 내부 네트워크에서 요청을 전송할 수 있는 경우만 아니라면 모든 GKE 사용자가 CVE-2020-8551로부터 보호됩니다. 마스터 승인 네트워크를 사용해도 CVE-2020-8552가 완화됩니다. 이 패치는 언제 적용되나요?CVE-2020-8551 패치는 노드 업그레이드가 필요합니다. 취약점 완화 방법이 포함된 패치 버전은 아래와 같습니다.
CVE-2020-8552 패치는 마스터 업그레이드가 필요합니다. 취약점 완화 방법이 포함된 패치 버전은 아래와 같습니다.
|
보통 |
GCP-january_21_2020
게시: 2020년 1월 21일업데이트: 2020년 1월 24일
참조: CVE-2019-11254
GKE
설명 | 심각도 |
---|---|
2020년 1월 24일 업데이트: 이미 패치 버전을 출시하기 위한 과정이 진행 중이며 2020년 1월 25일까지 완료될 예정입니다. Microsoft에서 Windows Crypto API 및 타원 곡선 서명 검사의 취약점을 공개했습니다. 자세한 내용은 Microsoft 공개 정보를 참조하세요. 어떻게 해야 하나요? 대부분 고객의 경우 추가 조치는 필요하지 않습니다. Windows Server를 실행 중인 노드만 영향을 받습니다. Windows Server 노드를 사용하고 있는 고객의 경우 노드와 해당 노드에서 실행되는 컨테이너화된 워크로드를 모두 패치 버전으로 업데이트해야 이 취약점을 완화할 수 있습니다. 컨테이너 업데이트 방법: Microsoft의 최신 기본 컨테이너 이미지를 사용하고 최종 업데이트 시간이 2020년 1월 14일 이후인 servercore 또는 nanoserver 태그를 선택하여 컨테이너를 다시 빌드하세요. 노드 업데이트 방법: 이미 패치 버전을 출시하기 위한 과정이 진행 중이며 2020년 1월 24일까지 완료될 예정입니다. 그때까지 기다렸다가 패치된 GKE 버전으로 노드 업그레이드를 수행하거나 Windows Update를 사용하여 언제든지 최신 Windows 패치를 수동으로 배포할 수도 있습니다. 취약점 완화 방법이 포함된 패치 버전은 아래와 같습니다.
이 패치로 어떤 취약점이 해결되나요? 이 패치로 다음의 취약점이 완화됩니다. CVE-2020-0601 - 이 취약점은 Windows Crypto API 스푸핑 취약점이라고도 하며, 악성 실행 파일을 신뢰할 수 있는 파일인 것처럼 보이게 하거나 공격자가 중간자 공격을 수행하고 TLS 연결의 기밀 정보를 영향을 받는 소프트웨어에 복호화하는 데 악용될 수 있습니다. |
NVD 기본 점수: 8.1(높음) |
보관처리된 보안 게시판
2020년 이전의 보안 게시판은 보안 게시판 자료실을 참고하세요.