Boletines de seguridad

Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Solo los clústeres que ejecutan Container-Optimized OS se ven afectados. Las versiones de GKE Ubuntu usan la versión 5.4 o 5.15 del kernel y no se ven afectadas.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para Container-Optimized OS para las siguientes versiones de GKE se actualizaron con código a fin de corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las próximas versiones de GKE que se indican a continuación:

• 1.22.10-gke.600
• 1.23.7-gke.1400
• 1.24.1-gke.1400

Una función reciente de canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite actualizar tus nodos a la versión con parche antes de que esa versión se convierta en la predeterminada en el canal de versiones seleccionado.

¿Qué vulnerabilidades trata este parche?

Con CVE-2022-1786, se encontró una falla de uso después de la liberación en el subsistema io_uring del kernel de Linux. Si un usuario configura un anillo con IORING_SETUP_IOPOLL con más de una tarea que completa los envíos del anillo, un usuario local puede causar una falla o escalar sus privilegios en el sistema.

Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Los clústeres de Anthos alojados en VMware no usan las versiones afectadas del kernel de Linux.

Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Los clústeres de Anthos alojados en AWS no usan las versiones afectadas del kernel de Linux.

Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Anthos en Azure no usa las versiones afectadas del kernel de Linux.

Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Anthos en equipos físicos no se ve afectado por esta CVE, ya que no agrupa un sistema operativo en su distribución.

Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Afecta a todos los clústeres de Linux (Container-Optimized OS y Ubuntu).

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para Container-Optimized OS y Ubuntu para las siguientes versiones de GKE se actualizaron con código a fin de corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

• Container-Optimized OS:
  • 1.19.16-gke.13800
  • 1.20.15-gke.8000
  • 1.21.12-gke.1500
  • 1.22.9-gke.1300
  • 1.23.6-gke.1500
  • 1.24.1-gke.1400
• Ubuntu:
  • 1.20.15-gke.9600
  • 1.21.13-gke.900
  • 1.22.10-gke.600
  • 1.23.7-gke.1400
  • 1.24.1-gke.1400

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite actualizar tus nodos a la versión con parche antes de que esa versión se convierta en la predeterminada en el canal de versiones seleccionado.

¿Qué vulnerabilidades trata este parche?

Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring.

CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz.

Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a los clústeres de Anthos alojados en VMware versión 1.9 y posteriores para las imágenes de Container-Optimized OS y Ubuntu.

¿Qué debo hacer?

Pronto se lanzarán versiones de los clústeres de Anthos alojados en VMware que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de los clústeres de Anthos alojados en VMware estén disponibles para su descarga.

¿Qué vulnerabilidades trata este parche?

Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring.

CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz.

Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a todas las versiones de los clústeres de Anthos alojados en AWS.

¿Qué debo hacer?

Pronto se lanzarán versiones de los clústeres de Anthos alojados en AWS que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de los clústeres de Anthos alojados en AWS estén disponibles para su descarga.

¿Qué vulnerabilidades trata este parche?

Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring.

CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz.

Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a todas las versiones de Anthos on Azure.

¿Qué debo hacer?

Pronto se lanzarán versiones de Anthos on Azure que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de Anthos on Azure estén disponibles para su descarga.

¿Qué vulnerabilidades trata este parche?

Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring.

CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz.

Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Anthos en equipos físicos no se ve afectado por esta vulnerabilidad, ya que no incluye un sistema operativo en su distribución.

Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

Detalles técnicos

En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE:

• 1.19.16-gke.11000 y versiones posteriores
• 1.20.15-gke.5200 y versiones posteriores
• 1.21.11-gke.1100 y versiones posteriores
• 1.22.8-gke.200 y versiones posteriores
• 1.23.5-gke.1500 y versiones posteriores

¿Qué vulnerabilidades trata este parche?

• CVE-2022-1055
• CVE-2022-27666

Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

Detalles técnicos

En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

¿Qué debo hacer?

Actualiza el clúster a una versión con parche. Las siguientes versiones de clústeres de Anthos alojados en VMware o las versiones más recientes contienen la corrección para esta vulnerabilidad:

• 1.9.6 (futura)
• 1.10.3
• 1.11.0 (futura)

¿Qué vulnerabilidades trata este parche?

• CVE-2022-1055
• CVE-2022-27666

Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

Detalles técnicos

En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

¿Qué debo hacer?

Actualización del 12/05/2022: Las siguientes versiones de generación actuales y anteriores de los clústeres de Anthos alojados en AWS se actualizaron con código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de clústeres de Anthos alojados en AWS:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.20.15-gke.5200
• 1.21.11-gke.1100
• 1.22.8-gke.1300

Actualiza el clúster a una versión con parche. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

¿Qué vulnerabilidades trata este parche?

• CVE-2022-1055
• CVE-2022-27666

Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

Detalles técnicos

En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

¿Qué debo hacer?

Actualización del 12/05/2022: Las siguientes versiones de Anthos on Azure se actualizaron con un código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos on Azure:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

Actualiza el clúster a una versión con parche. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

¿Qué vulnerabilidades trata este parche?

• CVE-2022-1055
• CVE-2022-27666

Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu).

Detalles técnicos

En CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo.

En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Anthos en equipos físicos no se ve afectado por esta CVE, ya que no incluye Linux como parte de su paquete. Debes asegurarte de que las imágenes de nodo que uses se actualicen a versiones que contengan la corrección para CVE-2022-1055 y CVE-2022-27666.

¿Qué vulnerabilidades trata este parche?

• CVE-2022-1055
• CVE-2022-27666

Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu) que usan containerd de forma predeterminada. Todos los nodos de GKE, Autopilot y GKE Sandbox se ven afectados.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus nodos a una de las siguientes versiones de GKE:

• 1.19.16-gke.9400
• 1.20.15-gke.3600
• 1.21.10-gke.1500
• 1.22.7-gke.1500
• 1.23.4-gke.1500

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todos los clústeres de Anthos alojados en VMware con Stackdriver habilitado, que usa containerd. Las versiones 1.8, 1.9 y 1.10 de los clústeres de Anthos alojados en VMware se ven afectadas.

¿Qué debo hacer?

Actualización del 22/04/2022: Las siguientes versiones de los clústeres de Anthos alojados en VMware contienen código que corrige esta vulnerabilidad.

• 1.9.5 o una versión posterior
• 1.10.3 o una versión posterior
• 1.11.0 o una versión posterior

Las siguientes versiones de los clústeres de Anthos alojados en VMware se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de clústeres de Anthos alojados en VMware:

• 1.8.8 o una versión posterior
• 1.9.5 o una versión posterior
• 1.10.2 o una versión posterior

Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Todas las versiones de clústeres de Anthos alojados en AWS se ven afectadas.

¿Qué debo hacer?

Las siguientes versiones de los clústeres de Anthos alojados en AWS se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de clústeres de Anthos alojados en AWS.

Clústeres de Anthos alojados en AWS (generación actual)

• Versión 1.22: 1.22.8-gke.200
• Versión 1.21: 1.21.11-gke.100

Clústeres de Anthos alojados en AWS (generación anterior)

• Versión 1.22: 1.22.8-gke.300
• Versión 1.21: 1.21.11-gke.100
• Versión 1.20: 1.20.15-gke.2200

Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Todas las versiones de Anthos on Azure se ven afectadas.

¿Qué debo hacer?

Las siguientes versiones de Anthos on Azure se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos de la siguiente manera:

• Versión 1.22: 1.22.8-gke.200
• Versión 1.21: 1.21.11-gke.100

Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host.

Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todos los Anthos en equipos físicos que usen containerd. Las versiones 1.8, 1.9 y 1.10 de Anthos en equipos físicos se ven afectadas.

¿Qué debo hacer?

Actualización del 22/04/2022: Las siguientes versiones de Anthos en Bare Metal contienen código que corrige esta vulnerabilidad.

• 1.8.9 o una versión posterior
• 1.9.6 o una versión posterior
• 1.10.3 o una versión posterior
• 1.11.0 o una versión posterior

Las siguientes versiones de Anthos en equipos físicos se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en equipos físicos:

• 1.8.8 o una versión posterior
• 1.9.5 o una versión posterior
• 1.10.2 o una versión posterior

Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios del contenedor a raíz. Esta vulnerabilidad afecta a las versiones del grupo de nodos de GKE v1.22 y posteriores que usen imágenes de Container-Optimized OS (Container-Optimized OS 93 y versiones posteriores). Los grupos de nodos de GKE que usan el SO de Ubuntu no se ven afectados.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

• 1.22.7-gke.1500 y versiones posteriores
• 1.23.4-gke.1600 y versiones posteriores

Una función reciente de los canales de versiones te permite aplicar una versión de parche de otros canales de versiones sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades trata este parche?

CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios.

Se integraron nuevas versiones de Container-Optimized OS que solucionan este en las versiones actualizadas de grupos de nodos de GKE.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz. Esta vulnerabilidad afecta a los clústeres de Anthos alojados en VMware v1.10 para imágenes de Container-Optimized OS. Actualmente, los clústeres de Anthos alojados en VMware con Ubuntu se encuentran en la versión de kernel 5.4 y no son vulnerables a este ataque.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de Anthos alojados en VMware se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los clústeres de administrador y de usuario a las siguientes versiones de clústeres de Anthos alojados en VMware:

• 1.10.3

¿Qué vulnerabilidades trata este parche?

CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios.

Se integraron nuevas versiones de Container-Optimized OS que solucionan este en las versiones actualizadas de los clústeres de Anthos alojados en VMware.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz.

Esta vulnerabilidad afecta a los clústeres administrados de Anthos alojados en AWS v1.21 y a los clústeres que se ejecutan en clústeres de Anthos alojados en AWS (generación anterior) v1.19, v1.20 y v1.21, que usan Ubuntu.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de Anthos alojados en AWS se actualizaron con un código que corrige esta vulnerabilidad.

Para los clústeres administrados de Anthos alojados en AWS, te recomendamos actualizar tus clústeres de usuario y grupo de nodos a una de las siguientes versiones:

• 1.21.11-gke.100

Para los clústeres de Anthos k-lite alojados en AWS, te recomendamos actualizar tus objetos AWSManagementService, AWSCluster y AWSNodePool a la siguiente versión:

• 1.21.11-gke.100
• 1.20.15-gke.2200

¿Qué vulnerabilidades trata este parche?

CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz. Esta vulnerabilidad afecta a los clústeres administrados de Anthos on Azure v1.21 que usan Ubuntu.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de Anthos on Azure se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los clústeres de usuario y el grupo de nodos a la siguiente versión:

• 1.21.11-gke.100

¿Qué vulnerabilidades trata este parche?

CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Anthos en equipos físicos no se ve afectado por esta CVE, ya que no incluye Linux como parte de su paquete. Debes asegurarte de que las imágenes de nodo que uses se actualicen a versiones que contengan la corrección para CVE-2022-0847.

Hay una configuración incorrecta con los multisubprocesos simultáneos (SMT) simultáneos, también conocido como hipersubprocesos, en imágenes de GKE Sandbox. La configuración incorrecta deja a los nodos potencialmente expuestos a ataques de canal lateral, como el muestreo de datos de microarquitectura (MDS) (para obtener más contexto, consulta la documentación de GKE Sandbox). No recomendamos usar las siguientes versiones afectadas:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Si habilitaste los SMT para un grupo de nodos de forma manual, este problema no afectará a tus nodos en zona de pruebas.

¿Qué debo hacer?

Actualiza tus nodos a una de las siguientes versiones:

• 1.22.6-gke.1500 y versiones posteriores
• 1.23.3-gke.1100 y versiones posteriores

¿Qué vulnerabilidad trata este parche?

Los nodos de GKE Sandbox tienen los SMT inhabilitados de forma predeterminada, lo que mitiga los ataques de canal lateral.

Actualización del 15/03/2022: Se agregaron guías de endurecimiento para los clústeres de Anthos alojados en AWS (GKE on AWS) y Anthos on Azure. Se agregó una sección sobre la persistencia mediante webhooks.

Algunas rutas inesperadas para acceder a la VM del nodo en los clústeres de GKE Autopilot podrían haberse usado a fin de escalar privilegios en el clúster. Estos problemas se solucionaron y no se requiere ninguna otra acción. Las correcciones abordan problemas informados a través de nuestro Programa de recompensas por detección de vulnerabilidades.

De manera opcional, los usuarios de clústeres de GKE Standard y clústeres de Anthos pueden aplicar una política de endurecimiento similar, como se describe a continuación.

Detalles técnicos

Acceso al host mediante exenciones de políticas de terceros

Para permitir que Google Cloud ofrezca la administración completa de nodos, y un ANS a nivel de Pod, GKE Autopilot restringe algunas primitivas de Kubernetes con una gran cantidad de privilegios para evitar que las cargas de trabajo tengan acceso de bajo nivel a la VM del nodo. Para configurar esto en contexto, GKE Standard presenta acceso completo al procesamiento subyacente, Autopilot presenta acceso limitado y Cloud Run no presenta acceso.

Autopilot flexibiliza algunas de esas restricciones para una lista predefinida de herramientas de terceros a fin de permitir que los clientes ejecuten esas herramientas en Autopilot sin modificaciones. Mediante el uso de privilegios para crear Pods con activaciones en la ruta del host, el investigador pudo ejecutar un contenedor con privilegios en un Pod que se veía como una de estas herramientas de terceros incluidas en la lista de entidades permitidas, a fin de obtener acceso al host.

La capacidad de programar los Pods de esta manera se espera en GKE Standard, pero no en GKE Autopilot, ya que omitió las restricciones de acceso al host que se usaron para habilitar el ANS descrito antes.

Este problema se solucionó cuando se ajustó la especificación del Pod sobre las lista de entidades permitidas de terceros.

Elevación de privilegios de raíz en nodo

Además del acceso al host, los Pods stackdriver-metadata-agent-cluster-level y metrics-server se identificaron como con demasiados privilegios. Después de obtener acceso de nivel de raíz al nodo, estos servicios podrían usarse para obtener más control sobre el clúster.

stackdriver-metadata-agent ha dejado de estar disponible y se ha eliminado para GKE Standard y Autopilot. Este componente aún se usa en clústeres de Anthos alojados en VMware y Anthos en equipos físicos.

Como medida de endurecimiento del sistema para evitar este tipo de ataque en el futuro, aplicaremos una restricción de Autopilot a una versión próxima que evite las actualizaciones de la cuenta de servicio de varios objetos en el espacio de nombres kube-system. Desarrollamos una política de Gatekeeper para que apliques una protección similar a los clústeres de GKE Standard y a los clústeres de Anthos a fin de evitar la modificación automática de cargas de trabajo con privilegios. Esta política se aplica automáticamente a los clústeres de Autopilot. Para obtener instrucciones, consulta las siguientes guías de endurecimiento:

• GKE Standard
• clústeres de Anthos alojados en VMware
• Anthos en Bare Metal
• Actualización del 15/03/2022: Clústeres de Anthos alojados en AWS
• Actualización del 15/03/2022: Anthos on Azure

Agregación 15/03/2022: Persistencia mediante webhooks de mutación

Se usaron webhooks de mutación en el informe para establecer una huella privilegiada en el clúster después de la vulneración. Estas son partes estándar de la API de Kubernetes que crean los administradores de clústeres y se hicieron visibles para los administradores cuando Autopilot agregó compatibilidad con webhooks definidos por el cliente.

Cuentas de servicio con privilegios en el espacio de nombres predeterminado

Los ejecutores de políticas de Autopilot antes permitían dos cuentas de servicio en el espacio de nombres predeterminado: csi-attacher y otelsvc para otorgar a las cuentas de servicio privilegios especiales. Un atacante con privilegios altos, incluidos los permisos para crear objetos ClusterRoleBinding y con acceso para crear Pods en el espacio de nombres predeterminado, podría usar estos nombres de cuenta de servicio a fin de acceder a esos privilegios adicionales. Estos servicios se movieron bajo el espacio de nombres kube-system para obtener la protección de la política existente de Autopilot. Los clústeres de GKE Standard y los de Anthos no se ven afectados.

¿Qué debo hacer?

Se actualizaron las políticas de todos los clústeres de GKE Autopilot para quitar el acceso al host no deseado y no se requieren más acciones.

Se aplicará un mayor endurecimiento de políticas a Autopilot en las próximas semanas como protección secundaria. No es necesario que realices ninguna acción.

Los clústeres de GKE Standard y los de Anthos no se ven afectados, ya que los usuarios ya tienen acceso al host. Como medida de endurecimiento del sistema, los usuarios de clústeres de GKE Standard y de Anthos pueden aplicar una protección similar con una política de Gatekeeper que evita la automodificación de cargas de trabajo privilegiadas. Para obtener instrucciones, consulta las siguientes guías de endurecimiento:

• GKE Standard
• clústeres de Anthos alojados en VMware
• Anthos en Bare Metal
• Actualización del 15/03/2022: Clústeres de Anthos alojados en AWS
• Actualización del 15/03/2022: Anthos on Azure

¿Qué debo hacer?

• Si usas Anthos Service Mesh 1.12, actualiza a v1.12.4-asm.0.
• Si usas Anthos Service Mesh 1.11, actualiza a v1.11.7-asm.1.
• Si usas Anthos Service Mesh 1.10, actualiza a v1.10.6-asm.1.

• Si usas Istio-on-GKE 1.6, actualiza a v1.6.14-gke.8.
• Si usas Istio-on-GKE 1.4.11, actualiza a v1.4.11-gke.4.
• Si usas Istio-on-GKE 1.4.10, actualiza a v1.4.10-gke.23.
• Si usas GKE 1.22 o una versión posterior, usa Istio GKE 1.4.10. De lo contrario, usa Istio-on-GKE 1.4.11.

¿Qué vulnerabilidades trata este parche?

• CVE-2021-43824 (puntuación 6.5 de CVSS, media): desreferencia del puntero nulo posible cuando se usa la coincidencia de safe_regex de filtro de JWT.
  Nota: Aunque ASM/Istio-on-GKE no admiten filtros de Envoy, podrías verte afectado si usas regex de filtro de JWT..
• CVE-2021-43825 (puntuación de CVSS 6.1, Media): Uso después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta y el aumento de los datos supera los límites de búfer descendentes.
  Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, es posible que te veas afectado si usas un filtro de descompresión.
• CVE-2021-43826 (puntuación de CVSS 6.1, Media): Uso después de la liberación cuando se canaliza TCP a través de HTTP, si hay desconexión descendente durante el establecimiento de la conexión ascendente.
  Nota: Aunque ASM/Istio-on-GKE no admiten filtros de Envoy, podrías verte afectado si usas un filtro de túnel.
• CVE-2022-21654 (puntuación de CVSS 7.3, Alta): El control de configuración incorrecto permite volver a usar la sesión de mTLS sin revalidación después de cambiar la configuración de validación.
  Nota: Todos los servicios de ASM/Istio-on-GKE que usan mTLS se ven afectados por esta CVE.
• CVE-2022-21655 (puntuación de CVSS 7.5, Alta): Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.
  Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, podrías verte afectado si usas un filtro de respuesta directa.
• CVE-2022-23606 (puntuación de CVSS 4.4, Media): Agotamiento de la pila cuando se borra un clúster mediante el servicio de descubrimiento de clústeres
  Nota: Esta CVE afecta a ASM 1.11+. ASM 1.10 y todas las versiones de Istio-on-GKE no se ven afectadas por esta CVE.
• CVE-2022-21657 (Puntuación CVSS 3.1, baja): Envoy a través de 1.20.1 contiene una vulnerabilidad que se puede aprovechar de forma remota debido a la omisión del uso extendido de la clave y los propósitos de confianza de X.509.
• CVE-2022-21656 (Puntuación CVSS 3.1, baja): Envoy a través de 1.20.1 contiene una vulnerabilidad que se puede aprovechar de forma remota debido a la omisión de subjectAltName (y nameConstraints) de X.509.

Hace poco tiempo, Istio lanzó una corrección de vulnerabilidad de seguridad. Anthos en VMware se ve afectado porque Istio se usa para la entrada. Las CVE de Istio que corregiremos se enumeran a continuación. Actualizaremos este boletín con versiones específicas cuando estén disponibles.

Agregación del 28-04-2022: ¿Qué debo hacer?

Las siguientes versiones de los clústeres de Anthos alojados en VMware corrigen estas vulnerabilidades:

• 1.9.5
• 1.10.3
• 1.11.0

¿Qué vulnerabilidades trata este parche?

• CVE-2021-43824 (puntuación 6.5 de CVSS, media): desreferencia del puntero nulo posible cuando se usa la coincidencia de safe_regex de filtro de JWT.
  Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, podrías verte afectado si usas la regex del filtro de JWT.
• CVE-2021-43825 (puntuación de CVSS 6.1, Media): Uso después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta y el aumento de los datos supera los límites de búfer descendente.
  Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, esto podría afectarte si usas un filtro de descompresión.
• CVE-2021-43826 (puntuación de CVSS 6.1, Media): Uso después de la liberación cuando se canaliza TCP a través de HTTP, si hay desconexión descendente durante el establecimiento de la conexión ascendente.
  Nota: Aunque ASM/Istio-on-GKE no admiten filtros de Envoy, podrías verte afectado si usas un filtro de túnel.
• CVE-2022-21654 (puntuación de CVSS 7.3, Alta): El control de configuración incorrecto permite volver a usar la sesión de mTLS sin revalidación después de cambiar la configuración de validación.
  Nota: Todos los servicios de ASM/Istio-on-GKE que usan mTLS se ven afectados por esta CVE.
• CVE-2022-21655 (puntuación de CVSS 7.5, Alta): Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.
  Nota: Aunque ASM/Istio-on-GKE no son compatibles con los filtros de Envoy, podrías verte afectado si usas un filtro de respuesta directa.
• CVE-2022-23606 (puntuación de CVSS 4.4, Media): Agotamiento de la pila cuando se borra un clúster mediante el servicio de descubrimiento de clústeres
  Nota: Esta CVE afecta a ASM 1.11+. ASM 1.10 y todas las versiones de Istio-on-GKE no se ven afectadas por esta CVE.
• CVE-2022-21657 (Puntuación CVSS 3.1, baja): Envoy a través de 1.20.1 contiene una vulnerabilidad que se puede aprovechar de forma remota debido a la omisión del uso extendido de la clave y los propósitos de confianza de X.509.
• CVE-2022-21656 (Puntuación CVSS 3.1, baja): Envoy a través de 1.20.1 contiene una vulnerabilidad que se puede aprovechar de forma remota debido a la omisión de subjectAltName (y nameConstraints) de X.509.

• CVE-2022-23635 (puntuación de CVSS 7.5, Alta): Istiod falla cuando recibe solicitudes con un encabezado de "autorización" creado especialmente.
  Nota: Todas las ASM/Istio-on-GKE se ven afectadas por esta CVE.

¿Qué vulnerabilidades trata este parche?

Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

¿Qué debo hacer?

Actualización del 16/05/2022: Además de las versiones de GKE mencionadas en la actualización del 12/05/2022, la versión 1.19.16-gke.7800 o posterior de GKE también contiene código que corrige esta vulnerabilidad.

Actualización del 12/05/2022: Las siguientes versiones de GKE contienen código que corrige esta vulnerabilidad:

• 1.20.15-gke.5600 o posterior
• 1.21.11-gke.1500 o posterior
• 1.22.8-gke.1800 o posterior
• 1.23.5-gke.1800 o posterior

La vulnerabilidad se encuentra en cgroup_release_agent_write del kernel de Linux en la función kernel/cgroup/cgroup-v1.c y se puede usar como una fuga del contenedor. GKE no se ve afectado debido a la protección del perfil de AppArmor predeterminado en Ubuntu y COS. Sin embargo, algunos clientes aún pueden ser vulnerables si disminuyen las restricciones de seguridad en los Pods mediante la modificación del Pod o el campo securityContext del contenedor, por ejemplo, inhabilitando o cambiando el perfil de AppArmor, lo que no se recomienda. Además del perfil predeterminado de AppArmor, estas funciones también protegen contra la vulnerabilidad:

• GKE Autopilot no se ve afectado debido al perfil predeterminado seccomp.
• Actualización del 15/02/2022: gVisor (GKE Sandbox) no se ve afectado, ya que gVisor no permite el acceso a la llamada vulnerable del sistema en el host.

Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

¿Qué vulnerabilidad trata este parche?

CVE-2022-0492

Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

¿Qué debo hacer?

Actualización del 12/05/2022: Las siguientes versiones de los clústeres de Anthos alojados en VMware contienen código que corrige esta vulnerabilidad.

• 1.8.8 o una versión posterior
• 1.9.5 o una versión posterior
• 1.10.2 o una versión posterior
• 1.11.0 o una versión posterior

• 1.9.6 o una versión posterior
• 1.10.3 o una versión posterior
• 1.11.0 o una versión posterior

La vulnerabilidad se encuentra en cgroup_release_agent_write del kernel de Linux en la función kernel/cgroup/cgroup-v1.c y se puede usar como interrupción en el contenedor. Los clústeres de Anthos alojados en VMware no se ven afectados debido a la protección del perfil de AppArmor predeterminado en Ubuntu y COS. Sin embargo, algunos clientes aún pueden ser vulnerables si disminuyen las restricciones de seguridad en los pods mediante la modificación del pod o el securityContext del contenedor, por ejemplo, inhabilitando o cambiando el perfil de AppArmor, lo que no se recomienda.

Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

¿Qué vulnerabilidad trata este parche?

CVE-2022-0492

Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

¿Qué debo hacer?

Actualización del 12/05/2022: Las siguientes versiones de los clústeres de Anthos alojados en AWS de generación actual y anterior contienen código que corrige esta vulnerabilidad:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.22.8-gke.1300
• 1.21.11-gke.1100
• 1.20.15-gke.5200

Actualización del 23/02/2020: Se agregó una nota para los clústeres de Anthos alojados en AWS.

Los clústeres de Anthos alojados en AWS de generaciones anteriores y actuales no se ven afectados debido a la protección del perfil de AppArmor predeterminado en Ubuntu. Sin embargo, es posible que algunos clientes aún sean vulnerables si han flexibilizado las restricciones de seguridad en los Pods a través de la modificación del campo securityContext del Pod o del contenedor, p. ej., inhabilitando o cambiando el perfil de AppArmor, lo cual no se recomienda.

Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

¿Qué vulnerabilidad trata este parche?

CVE-2022-0492

Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

¿Qué debo hacer?

Actualización del 12/05/2022: Las siguientes versiones de Anthos on Azure contienen código que corrige esta vulnerabilidad:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

Anthos on Azure no se ve afectado debido a la protección del perfil de AppArmor predeterminado en Ubuntu. Sin embargo, algunos clientes aún pueden ser vulnerables si disminuyen las restricciones de seguridad en los pods mediante la modificación del pod o el securityContext del contenedor, por ejemplo, inhabilitando o cambiando el perfil de AppArmor, lo que no se recomienda.

Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles.

¿Qué vulnerabilidad trata este parche?

CVE-2022-0492

• 1.20.15-gke.300
• 1.21.9-gke.300
• 1.22.6-gke.1000

Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS. Las imágenes de GKE COS y Ubuntu tienen una versión vulnerable instalada y se les debe aplicar un parche.

Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS#7 o PKCS#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo se use o configure NSS.

GKE no usa libnss3 para ninguna API a la que se pueda acceder a través de Internet. El impacto se limita al código en el host que se ejecuta fuera de contenedores, lo que es pequeño debido al diseño mínimo de Chrome SO. El código de GKE que se ejecuta dentro de contenedores mediante la imagen base distroless de golang no se ve afectado.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tu plano de control y tus nodos a una de las siguientes versiones de GKE:

• Versión 1.18 que se determinará
• 1.19.16-gke.6100
• 1.20.15-gke.200
• 1.21.9-gke.200
• 1.22.6-gke.600
• 1.23.3-gke.500

¿Qué vulnerabilidad trata este parche?

CVE-2021-43527

Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas, según cómo configuren NSS. Los clústeres de Anthos alojados en VMware COS y las imágenes de Ubuntu tienen una versión vulnerable y se deben aplicar parches.

Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS \#7 o PKCS \#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo configuren o usen NSS. Anthos en VMware no usa libnss3 para ninguna API de acceso público, por lo que el impacto es limitado y la gravedad de esta CVE para los clústeres de Anthos alojados en VMware se califica como Media.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de Anthos se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tu plano de control y tus nodos a una de las siguientes versiones de Anthos:

• 1.8.7
• 1.9.4
• 1.10.2

¿Usas una versión de los clústeres de Anthos alojados en VMware anterior a la 1.18? Usas una versión de Anthos fuera del ANS y debes considerar actualizar a una de las versiones compatibles.

¿Qué vulnerabilidad trata este parche?

CVE-2021-43527

Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS. Los clústeres de Anthos en las imágenes de Azure Ubuntu tienen instalada una versión vulnerable y se deben aplicar parches.

Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS#7 o PKCS#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo configuren o usen NSS. Los clústeres de Anthos alojados en Azure no usan libnss3 para ninguna API de acceso público, por lo que el impacto es limitado y la gravedad de esta CVE para Anthos on VMware se califica como Media.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de Anthos alojados en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de Anthos en Azure:

• v1.21.6-gke.1500

¿Qué vulnerabilidad trata este parche?

CVE-2021-43527

Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

¿Qué debo hacer?

GKE no se ve afectado porque el módulo vulnerable, policykit-1, no está instalado en las imágenes de COS o Ubuntu usadas en GKE. No es necesario que realices ninguna acción.

Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

La configuración predeterminada de Anthos ya brinda a los usuarios privilegios completos de “sudo”, por lo que esta vulnerabilidad no cambia la postura de seguridad existente de Anthos.

Detalles técnicos

Para que se pueda aprovechar este error, un atacante necesita un shell no raíz en el sistema de archivos del nodo y tener instalada la versión vulnerable de pkexec. Si bien los clústeres de Anthos alojados en VMware incluyen una versión de policykit-1 en sus imágenes de actualización, la configuración predeterminada de Anthos permite hacer sudo sin contraseña a cualquier persona que tenga acceso a la shell, por lo que esta vulnerabilidad no le da más a un usuario privilegios que los que ya tiene.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Los clústeres de Anthos alojados en VMware no se ven afectados.

Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

La configuración predeterminada de Anthos ya brinda a los usuarios privilegios completos de “sudo”, por lo que esta vulnerabilidad no cambia la postura de seguridad existente de Anthos.

Detalles técnicos

Para que se pueda aprovechar este error, un atacante necesita un shell no raíz en el sistema de archivos del nodo y tener instalada la versión vulnerable de pkexec. Si bien Anthos on Azure incluyen una versión de policykit-1 en sus imágenes de actualización, la configuración predeterminada de Anthos permite hacer sudo sin contraseña a cualquier persona que tenga acceso a la shell, por lo que esta vulnerabilidad no le da más a un usuario privilegios que los que ya tiene.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Anthos on Azure no se ve afectado.

Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, los clústeres de Anthos alojados en VMware, los clústeres de Anthos alojados en AWS (generación actual y anterior) y Anthos on Azure.

Los Pods que usan GKE Sandbox no son vulnerables a estas vulnerabilidades.

Consulta las notas de la versión de COS para obtener más información.

Detalles técnicos

En CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema fsconfig para activar un error de uso después de la liberación en el kernel de Linux, con lo que obtiene privilegios de administrador. Este es un ataque de elevación de privilegios locales que generará una fuga del contenedor.

CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host.

Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor.

La ruta de explotación para esta vulnerabilidad que depende de la llamada de sistema “unshare” se bloquea en los clústeres de GKE Autopilot de forma predeterminada con el filtrado seccomp.

Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos.

¿Qué debo hacer?

Actualización del 07/03/2022: Las versiones de las imágenes de nodos de Linux para las siguientes versiones de GKE se actualizaron con código que corrige todas estas vulnerabilidades de las imágenes de Ubuntu y COS. Actualiza el plano de control y los nodos a una de las siguientes versiones de GKE.

• 1.18.20-gke.6101
• 1.19.16-gke.8300
• 1.20.15-gke.2500
• 1.21.10-gke.400
• 1.22.7-gke.900
• 1.23.3-gke.1100

Actualización del 25-02-2022: Si usas imágenes de nodo de Ubuntu, 1.22.6-gke.1000 no aborda CVE-2021-22600. Actualizaremos este boletín con las versiones de parche de Ubuntu cuando estén disponibles.

Actualización del 23-02-2022: Las versiones de las imágenes de nodos de Linux para las siguientes versiones de GKE se actualizaron con código a fin de corregir estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE.

• 1.18.20-gke.6101
• 1.22.6-gke.1000
• 1.23.3-gke.1100

Actualización del 04-02-2022: La fecha de inicio del lanzamiento de las versiones de parche de GKE fue el 2 de febrero.

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE.

• 1.19.16-gke.6100
• 1.20.15-gke.300
• 1.21.9-gke.300

Las versiones 1.22 y 1.23 también están en progreso. Actualizaremos este boletín con versiones específicas cuando estén disponibles.

¿Qué vulnerabilidad trata este parche?

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, los clústeres de Anthos alojados en VMware, los clústeres de Anthos alojados en AWS (generación actual y anterior) y Anthos on Azure.

Consulta las notas de la versión de COS para obtener más información.

Detalles técnicos

En CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema fsconfig para activar un error de uso después de la liberación en el kernel de Linux, con lo que obtiene privilegios de administrador. Este es un ataque de elevación de privilegios locales que generará una fuga del contenedor.

CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host.

Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor.

Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos.

¿Qué debo hacer?

Actualización del 23-02-2022: la versión 1.10.2 (Correcciones CVE-2021-22600, CVE-2021-4154 y CVE-2022-0185) ahora está programada para el 1 de marzo.

Actualización del 23-02-2022: Se agregaron versiones con parche que abordan la CVE-2021-2260.

La versión 1.10.1 no aborda la CVE-2021-22600, pero sí aborda las otras vulnerabilidades. Las versiones 1.9.4 y 1.10.2, aún no publicadas, abordarán la CVE-2021-22600. Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de Anthos alojados en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de clústeres de Anthos alojados en VMware:

• 1.10.1 (Corrige CVE-2021-4154 y CVE-2022-0185. Publicada el 10 febrero)
• 1.8.7 (Corrige CVE-2021-22600, CVE-2021-4154 y CVE-2022-0185. Publicada el 17 de febrero)
• 1.9.4 (Corrige CVE-2021-22600, CVE-2021-4154, y CVE-2022-0185. Publicada el 23 febrero)
• 1.10.2 (Corrige CVE-2021-22600, CVE-2021-4154, y CVE-2022-0185. programada para el 24 de febrero)

Actualización del 04-02-2022: Se agregó información sobre las imágenes de Ubuntu que no abordan CVE-2021-22600.

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de Anthos alojados en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de clústeres de Anthos alojados en VMware:

• 1.10.1 (solo actualización de COS. El parche de Ubuntu estará en la versión 1.10.2 programada para el 23 de febrero)
• 1.9.4 (programada para el 15 de febrero)
• 1.8.7 (programada para el 15 de febrero)

¿Qué vulnerabilidad trata este parche?

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, los clústeres de Anthos alojados en VMware, los clústeres de Anthos alojados en AWS (generación actual y anterior) y Anthos on Azure.

Consulta las notas de la versión de COS para obtener más información.

Detalles técnicos

En CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema fsconfig para activar un error de uso después de la liberación en el kernel de Linux, con lo que obtiene privilegios de administrador. Este es un ataque de elevación de privilegios locales que generará una fuga del contenedor.

CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host.

Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor.

Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos.

¿Qué debo hacer?

Clústeres de Anthos en AWS

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de Anthos alojados en AWS se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a la siguiente versión de clústeres de Anthos alojados en AWS:

• 1.21.6-gke.1500 y versiones posteriores (disponible en febrero)

Clústeres de Anthos alojados en AWS (generación anterior)

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de Anthos alojados en AWS (generación anterior) se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de clústeres de Anthos alojados en AWS (generación anterior):

• 1.19.16-gke.5300
• 1.20.14-gke.2000
• 1.21.8-gke.2000

¿Qué vulnerabilidad trata este parche?

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, los clústeres de Anthos alojados en VMware, los clústeres de Anthos alojados en AWS (generación actual y anterior) y Anthos on Azure.

Consulta las notas de la versión de COS para obtener más información.

Detalles técnicos

En CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema fsconfig para activar un error de uso después de la liberación en el kernel de Linux, con lo que obtiene privilegios de administrador. Este es un ataque de elevación de privilegios locales que generará una fuga del contenedor.

CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host.

Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor.

Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de Anthos alojados en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a la siguiente versión de Anthos on Azure:

• 1.21.6-gke.1500 y versiones posteriores (disponible en febrero)

¿Qué vulnerabilidad trata este parche?

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

¿Qué debo hacer?

Este problema de seguridad no afecta la infraestructura del clúster de GKE ni ninguna infraestructura de clústeres de entornos de Anthos. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles.

Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

¿Qué debo hacer?

Este problema de seguridad no afecta la infraestructura del clúster de GKE ni ninguna infraestructura de clústeres de entornos de Anthos. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles.

Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

¿Qué debo hacer?

Este problema de seguridad no afecta la infraestructura del clúster de GKE ni ninguna infraestructura de clústeres de entornos de Anthos. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles.

Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

¿Qué debo hacer?

Este problema de seguridad no afecta la infraestructura del clúster de GKE ni ninguna infraestructura de clústeres de entornos de Anthos. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles.

Se descubrió una vulnerabilidad en el módulo LDAP de Anthos Identity Service (AIS) de clústeres de Anthos alojados en VMware 1.8 y 1.8.1, donde una clave semilla para generar claves es predecible. Con esta vulnerabilidad, un usuario autenticado podría agregar reclamaciones arbitrarias y escalar privilegios de forma indefinida.

Detalles técnicos

Una adición reciente al código AIS crea claves simétricas mediante el módulo math/rand de Golang, que no es adecuado para los códigos con seguridad sensible. El módulo se usa de una manera que generará una clave predecible. Durante la verificación de identidad, se genera una clave de servicio de token seguro (STS) que, luego, se encripta con una clave simétrica fácil de derivar.

¿Qué debo hacer?

Esta vulnerabilidad solo afecta a los clientes que usan AIS en los clústeres de Anthos alojados en VMware 1.8 y 1.8.1. Para los usuarios de clústeres de Anthos alojados en VMware 1.8, actualiza tus clústeres a la siguiente versión:

• 1.8.2

Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apiserver a las redes privadas de ese servidor de la API.

Detalles técnicos

Con esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes MutatingWebhookConfiguration o ValidatingWebhookConfiguration pueden redireccionar las solicitudes kube-apiserver a las redes privadas del servidor de la API. Si ese usuario puede ver los registros kube-apiserver cuando el nivel de registro se establece como 10, puede ver las respuestas y los encabezados redireccionados en los registros.

Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API.

¿Qué debo hacer?

No se requiere ninguna acción en este momento.

Las versiones de GKE y Anthos disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:

• La marca --profiling de kube-apiserver se configura como false.
• El nivel de registro kube-apiserver se establece por debajo de 10.

¿Qué vulnerabilidad trata este parche?

CVE-2020-8561

Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apiserver a las redes privadas de ese servidor de la API.

Detalles técnicos

Con esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes MutatingWebhookConfiguration o ValidatingWebhookConfiguration pueden redireccionar las solicitudes kube-apiserver a las redes privadas del servidor de la API. Si ese usuario puede ver los registros kube-apiserver cuando el nivel de registro se establece como 10, puede ver las respuestas y los encabezados redireccionados en los registros.

Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API.

¿Qué debo hacer?

No se requiere ninguna acción en este momento.

Las versiones de GKE y Anthos disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:

• La marca --profiling de kube-apiserver se configura como false.
• El nivel de registro kube-apiserver se establece por debajo de 10.

¿Qué vulnerabilidad trata este parche?

CVE-2020-8561

Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apiserver a las redes privadas de ese servidor de la API.

Detalles técnicos

Con esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes MutatingWebhookConfiguration o ValidatingWebhookConfiguration pueden redireccionar las solicitudes kube-apiserver a las redes privadas del servidor de la API. Si ese usuario puede ver los registros kube-apiserver cuando el nivel de registro se establece como 10, puede ver las respuestas y los encabezados redireccionados en los registros.

Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API.

¿Qué debo hacer?

No se requiere ninguna acción en este momento.

Las versiones de GKE y Anthos disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:

• La marca --profiling de kube-apiserver se configura como false.
• El nivel de registro kube-apiserver se establece por debajo de 10.

¿Qué vulnerabilidad trata este parche?

CVE-2020-8561

Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apiserver a las redes privadas de ese servidor de la API.

Detalles técnicos

Con esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes MutatingWebhookConfiguration o ValidatingWebhookConfiguration pueden redireccionar las solicitudes kube-apiserver a las redes privadas del servidor de la API. Si ese usuario puede ver los registros kube-apiserver cuando el nivel de registro se establece como 10, puede ver las respuestas y los encabezados redireccionados en los registros.

Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API.

¿Qué debo hacer?

No se requiere ninguna acción en este momento.

Las versiones de GKE y Anthos disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:

• La marca --profiling de kube-apiserver se configura como false.
• El nivel de registro kube-apiserver se establece por debajo de 10.

¿Qué vulnerabilidad trata este parche?

CVE-2020-8561

Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

Detalles técnicos:

¿Qué debo hacer?

Te recomendamos actualizar tus grupos de nodos a una de las versiones siguientes o una versión posterior para aprovechar los parches más recientes:

• 1.21.4-gke.301
• 1.20.10-gke.301
• 1.19.14-gke.301
• 1.18.20-gke.4501

Las siguientes versiones también contienen la corrección:

• 1.21.3-gke.2001
• 1.20.8-gke.2101
• 1.20.9-gke.701
• 1.20.9-gke.1001
• 1.19.12-gke.2101
• 1.19.13-gke.701
• 1.18.20-gke.3001

Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

Detalles técnicos:

¿Qué debo hacer?

Actualización del 24-9-2021: Ahora las versiones con parche 1.8.3 y 1.7.4 están disponibles.

Actualizado el 2021-09-17: Se corrigió la lista de versiones disponibles que contienen el parche.

Las siguientes versiones de los clústeres de Anthos alojados en VMware se actualizaron con un código que corrige esta vulnerabilidad. Actualiza tus clústeres de administrador y de usuario a una de las siguientes versiones:

• 1.8.3
• 1.8.2
• 1.7.4
• 1.6.5

Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

Detalles técnicos:

¿Qué debo hacer?

Actualización del 2021-9-16: Se agregó una lista de versiones de gke compatibles para los objetos AWSCluster y AWSNodePool.

Las siguientes versiones de los clústeres de Anthos alojados en AWS se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos que hagas lo siguiente:

• Actualiza tus objetos AWSManagementService, AWSCluster y AWSNodePool a la siguiente versión:
  • 1.8.2
• Actualiza la versión de gke de tus objetos AWSCluster y AWSNodePool a una de las versiones compatibles de Kubernetes:
  • 1.17.17-gke.15800
  • 1.18.20-gke.4800
  • 1.19.14-gke.600
  • 1.20.10-gke.600

Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

Detalles técnicos:

¿Qué debo hacer?

Las siguientes versiones de los clústeres de Anthos en equipos físicos se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres de administrador y de usuario a una de las siguientes versiones:

• 1.8.3
• 1.7.4

Actualización (23-9-2021):

Los contenedores que se ejecutan dentro de GKE Sandbox no se ven afectados por esta vulnerabilidad para los ataques que se originan en el contenedor.

Actualización (15-9-2021):

Las siguientes versiones de GKE abordan las vulnerabilidades:

• 1.18.20-gke.4100
• 1.19.13-gke.1900
• 1.20.9-gke.1500
• 1.21.3-gke.1400

Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu).

Detalles técnicos:

En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz.
Con CVE-2021-33910, systemd tiene una asignación de memoria con un valor de tamaño excesivo (que involucra strdupa y alloca para un nombre de ruta de acceso controlado por un atacante local) que genera una falla del sistema operativo.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

• 1.18.20-gke.4100
• 1.19.13-gke.1900
• 1.20.9-gke.1500
• 1.21.3-gke.1400

Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu).

Detalles técnicos:

En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz.
Con CVE-2021-33910, systemd tiene una asignación de memoria con un valor de tamaño excesivo (que involucra strdupa y alloca para un nombre de ruta de acceso controlado por un atacante local) que genera una falla del sistema operativo.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux para los clústeres de Anthos en AWS se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

• 1.20.10-gke.600
• 1.19.14-gke.600
• 1.18.20-gke.4800
• 1.17.17-gke.15800

Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu).

Detalles técnicos:

En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz.
Con CVE-2021-33910, systemd tiene una asignación de memoria con un valor de tamaño excesivo (que involucra strdupa y alloca para un nombre de ruta de acceso controlado por un atacante local) que genera una falla del sistema operativo.

¿Qué debo hacer?

Las versiones de las imágenes de nodo de Linux y COS para clústeres de Anthos alojados en VMware se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

• 1.9
• 1.8.2
• 1.7.3
• 1.6.4 (solo en Linux)

Consulta Historial de versiones: versiones de Kubernetes y del kernel del nodo.

Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de CAP_NET_ADMIN puede causar una interrupción del contenedor en la raíz del host. Esta vulnerabilidad afecta a todos los clústeres de GKE y a los clústeres de Anthos alojados en VMware que ejecutan la versión 2.6.19 o una posterior de Linux.

Detalles técnicos

En este ataque, una escritura fuera de los límites en setsockopt en el subsistema netfilter de Linux puede permitir un daño en el montón (y, por lo tanto, la denegación del servicio) y la elevación de privilegios.

¿Qué debo hacer?

Las siguientes versiones de Linux en GKE se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

• 1.21.1-gke.2200
• 1.20.7-gke.2200
• 1.19.11-gke.2100
• 1.18.20-gke.501

¿Qué vulnerabilidad trata este parche?

CVE-2021-22555

Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de CAP_NET_ADMIN puede causar una interrupción del contenedor en la raíz del host. Esta vulnerabilidad afecta a todos los clústeres de GKE y a los clústeres de Anthos alojados en VMware que ejecutan la versión 2.6.19 o una posterior de Linux.

Detalles técnicos

En este ataque, una escritura fuera de los límites en setsockopt en el subsistema netfilter de Linux puede permitir un daño en el montón (y, por lo tanto, la denegación del servicio) y la elevación de privilegios.

¿Qué debo hacer?

Las siguientes versiones de los clústeres de Linux en Anthos en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:

• 1.8
• 1.7.3
• 1.6.4

¿Qué vulnerabilidad trata este parche?

CVE-2021-22555

Microsoft publicó un boletín de seguridad sobre una vulnerabilidad de ejecución de código remoto (RCE), CVE-2021-34527, que afecta la cola de impresión en los servidores de Windows. El CERT Coordination Center (CERT/CC) publicó una nota de actualización sobre una vulnerabilidad relacionada, denominada "PrintNightmare", que también afecta las colas de impresión de Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Los nodos de Windows para GKE no contienen el servicio de cola la impresión afectado como parte de la imagen base, por lo que las implementaciones de Windows para GKE no son vulnerables a este ataque.

¿Qué vulnerabilidades trata este boletín?

• PrintNightmare
• CVE-2021-34527

¿Qué debo hacer?

Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres.

Detalles técnicos:

La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS.

Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod.

¿Qué debo hacer?

Los clústeres de GKE no ejecutan Istio de forma predeterminada y, cuando están habilitados, usan la versión 1.6 de Istio, que no es vulnerable a este ataque. Si instalaste o actualizaste Istio en el clúster a Istio 1.8 o una versión posterior, actualiza Istio a la versión compatible más reciente.

¿Qué debo hacer?

Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres.

Detalles técnicos:

La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS.

Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod.

¿Qué debo hacer?

Los clústeres de Anthos alojados en VMware v1.6 y v1.7 no son vulnerables a este ataque. Los clústeres de Anthos alojados en VMware v1.8 son vulnerables.

Si usas los clústeres de Anthos alojados en VMware v1.8, actualiza a la siguiente versión con parche o posterior:

• 1.8.0-gke.25

¿Qué debo hacer?

Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres.

Detalles técnicos:

La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS.

Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod. Esta CVE afecta a los clústeres creados o actualizados con clústeres de Anthos en equipos físicos v1.8.0.

¿Qué debo hacer?

Anthos v1.6 y 1.7 no son vulnerables a este ataque. Si tienes clústeres v1.8.0, descarga y, luego, instala la versión 1.8.1 de bmctl y actualiza tus clústeres a la siguiente versión con parche:

• 1.8.1

Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

En el caso de GKE, debido a que aprovechar esta vulnerabilidad requiere la capacidad de crear pods, calificamos la gravedad como MEDIA.

Detalles técnicos

El paquete runc es vulnerable a un ataque de intercambio de symlinks cuando se activa un volumen.

Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink.

Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz.

¿Qué debo hacer?

Hay un parche nuevo para runc (1.0.0-rc95) que corrige esta vulnerabilidad.

Actualiza tu clúster de GKE a una de las siguientes versiones actualizadas:

• 1.18.19-gke.2100
• 1.19.9-gke.1400
• 1.20.6-gke.1400
• 1.21.2-gke.600

Media

Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

En el caso de los clústeres de Anthos alojados en VMware, dado que para aprovechar esta vulnerabilidad se requiere la capacidad de crear pods, calificamos la gravedad de esta vulnerabilidad como MEDIA.

Detalles técnicos

El paquete runc es vulnerable a un ataque de intercambio de symlinks cuando se activa un volumen.

Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink.

Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz.

¿Qué debo hacer?

Hay un parche nuevo para runc que corrige esta vulnerabilidad. Actualiza tus clústeres de Anthos alojados en VMware a una de las siguientes versiones:

• 1.7.3-gke-2
• 1.8.1-gke.7
• 1.9.0-gke.8

Media

Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

Debido a que se trata de una vulnerabilidad a nivel del SO, los clústeres de Anthos alojados en AWS no son vulnerables.

Detalles técnicos

El paquete runc es vulnerable a un ataque de intercambio de symlinks cuando se activa un volumen.

Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink.

Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz.

¿Qué debo hacer?

Ninguna

Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

Debido a que se trata de una vulnerabilidad a nivel del SO, los clústeres de Anthos alojados en equipos físicos no son vulnerables.

Detalles técnicos

El paquete runc es vulnerable a un ataque de intercambio de symlinks cuando se activa un volumen.

Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink.

Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz.

¿Qué debo hacer?

Asegúrate de que la versión del SO en la que ejecutas Anthos alojados en equipos físicos se actualice a la versión más reciente del SO que tenga un paquete runc actualizado.

Ninguna

Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-31920) que afecta a Istio.

Istio contiene una vulnerabilidad que se puede exponer de forma remota, en la que una solicitud HTTP con varias barras o caracteres de barra de escape puede omitir la política de autorización de Istio cuando se usan reglas de autorización basadas en rutas.

¿Qué debo hacer?

Te recomendamos que actualices y vuelvas a configurar los clústeres de GKE. Ten en cuenta que es importante completar los dos pasos que se indican a continuación para resolver la vulnerabilidad de forma correcta:

1. Actualiza tus clústeres: Completa las siguientes instrucciones para actualizar tus clústeres a las versiones de parche más recientes lo antes posible:
   • Si usas Istio on GKE 1.6, sigue estos pasos:

     La versión de parche más reciente es la 1.6.14-gke.3. Sigue las instrucciones de actualización para actualizar los clústeres a la versión más reciente.

   • Si usas Istio on GKE 1.4, sigue estos pasos:

   Las versiones de Istio on GKE 1.4 ya no son compatibles con Istio y no agregamos correcciones de CVE para estas versiones. Sigue las instrucciones de actualización de Istio para actualizar los clústeres a la versión 1.6 y, luego, sigue las instrucciones anteriores a fin de obtener la versión más reciente de Istio en GKE 1.6.

2. Configura Istio:

   Una vez que los clústeres tengan parches, debes volver a configurar Istio on GKE. Consulta la guía de prácticas recomendadas de seguridad para configurar tu sistema de forma correcta.

Alta

Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy.

Los clústeres de GKE no ejecutan Istio de forma predeterminada y no son vulnerables. Si Istio se instaló en un clúster y se configuró para exponer servicios a Internet, esos servicios pueden ser vulnerables a la denegación del servicio.

¿Qué debo hacer?

Para solucionar estas vulnerabilidades, actualiza tu plano de control de GKE a una de las siguientes versiones de parche:

• 1.16.15-gke.16200
• 1.17.17-gke.6100
• 1.18.17-gke.1300
• 1.19.9-gke.1300
• 1.20.5-gke.1400

Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy.

Los clústeres de Anthos alojados en VMware usan Envoy de forma predeterminada para el Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio.

¿Qué debo hacer?

Para corregir estas vulnerabilidades, actualiza tus clústeres de Anthos alojados en VMware a una de las siguientes versiones de parche cuando se lanzan:

• 1.5.4
• 1.6.3
• 1.7.1

Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy.

Anthos en equipos físicos usa Envoy de forma predeterminada para Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio.

¿Qué debo hacer?

Para corregir estas vulnerabilidades, actualiza tu clúster de Anthos en equipos físicos a una de las siguientes versiones de parche cuando se lance:

• 1.6.3
• 1.7.1

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

¿Qué debo hacer?

Para solucionar esta vulnerabilidad, actualiza tu clúster de GKE a una de las siguientes versiones con parche:

• 1.18.17-gke.900
• 1.19.9-gke.900
• 1.20.5-gke.900

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

¿Qué debo hacer?

En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad.

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

¿Qué debo hacer?

En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad.

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

¿Qué debo hacer?

En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad.

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

Los clústeres de Google Kubernetes Engine (GKE) no se ven afectados por esta vulnerabilidad:

• Los usuarios que están autorizados a establecer conexiones SSH a nodos de GKE ya se consideran muy privilegiados y pueden usar sudo para obtener privilegios raíz. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
• La mayoría de los contenedores del sistema de GKE se compilan a partir de imágenes base diferenciadas que no tienen una shell o un sudo instalados. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

¿Qué debo hacer?

Debido a que los clústeres de GKE no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

GKE aplicará el parche para esta vulnerabilidad en una versión próxima con cadencia regular.

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

Clústeres de Anthos alojados en VMware no se ve afectado por esta vulnerabilidad:

• Los usuarios que están autorizados a usar nodos de clústeres de Anthos alojados en VMware ya se consideran que tienen privilegios elevados y pueden usar sudo para obtener privilegios raíz de diseño. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
• La mayoría de los contenedores del sistema de clústeres de Anthos alojados en VMware se compilan a partir de imágenes base diferenciadas que no tienen una shell o una sudo instalada. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

¿Qué debo hacer?

Debido a que clústeres de Anthos alojados en VMware no se ve afectado por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

Clústeres de Anthos alojados en VMware tendrá el parche para esta vulnerabilidad que se aplicará en una versión futura con cadencia regular.

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

Clústeres de Anthos alojados en AWS no se ve afectado por esta vulnerabilidad:

• Los usuarios que están autorizados a usar nodos de clústeres de Anthos alojados en AWS ya se consideran que tienen privilegios elevados y pueden usar sudo para obtener privilegios raíz de diseño. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
• La mayoría de los contenedores del sistema de clústeres de Anthos alojados en AWS se compilan a partir de imágenes base diferenciadas que no tienen una shell o una sudo instalada. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

¿Qué debo hacer?

Debido a que los clústeres de Anthos alojados en AWS no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

Los clústeres de Anthos alojados en AWS tendrán el parche para esta vulnerabilidad aplicado en una versión futura con cadencia regular.

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

La vulnerabilidad no afecta a los clústeres de Anthos en equipos físicos:

• A los usuarios que están autorizados a usar SSH de Anthos en los nodos del equipo físico ya se consideran muy privilegiados y pueden usar sudo para obtener privilegios raíz de diseño. La vulnerabilidad no produce rutas de elevación de privilegios adicionales en esta situación.
• La mayoría de los contenedores de Anthos en sistemas de equipos físicos se compilan a partir de imágenes base diferenciadas que no tienen una shell o una sudo instalada. Otras imágenes se compilan a partir de una imagen base de debian que no contiene sudo. Incluso si sudo estaba presente, el acceso a sudo dentro del contenedor no te otorga acceso al host debido al límite del contenedor.

¿Qué debo hacer?

Dado que esta vulnerabilidad no afecta a los clústeres de Anthos en equipos físicos, no es necesario que realices ninguna otra acción.

Anthos en equipos físicos aplicará el parche para esta vulnerabilidad en una versión próxima a cadencia normal.

gcloud beta container clusters update –no-enable-service-externalips

1. A partir de la versión 1.21 de GKE, un controlador de admisión DenyServiceExternalIPs que se habilita de forma predeterminada para clústeres nuevos bloquea los servicios con ExternalIP.
2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIP mediante el siguiente comando:

   
   gcloud container clusters update –no-enable-service-externalips
   

Para obtener más información, consulta Endurece la seguridad del clúster.

El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster.

Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes.

Todos los clústeres de Google Kubernetes Engine (GKE) se ven afectados por esta vulnerabilidad.

¿Qué debo hacer?

Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad.

Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general.

Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:

1. Usa el controlador de políticas de Anthos o Gatekeeper con esta plantilla de restricciones y aplícala. Por ejemplo:

   
   # Only allow the creation of Services with no
   # ExternalIP or an ExternalIP of 203.0.113.1:
   
   apiVersion: constraints.gatekeeper.sh/v1beta1
   kind: K8sExternalIPs
   metadata:
     name: external-ips
   spec:
     match:
       kinds:
         - apiGroups: [""]
           kinds: ["Service"]
     parameters:
       allowedIPs:
         - "203.0.113.1"
   

2. O instala un controlador de admisión para evitar el uso de IP externas. El proyecto de Kubernetes proporcionó un controlador de admisión de muestra para esta tarea.

Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso container.services.updateStatus que se necesita para aprovechar esta vulnerabilidad.

gcloud beta container clusters update –no-enable-service-externalips

1. A partir de la versión 1.21 de GKE, un controlador de admisión DenyServiceExternalIPs que se habilita de forma predeterminada para clústeres nuevos bloquea los servicios con ExternalIP.
2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIP mediante el siguiente comando:

   
   gcloud container clusters update –no-enable-service-externalips
   

Para obtener más información, consulta Endurece la seguridad del clúster.

El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster.

Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes.

Todos los clústeres de Anthos alojados en VMware se ven afectados por esta vulnerabilidad.

¿Qué debo hacer?

Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad.

Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general.

Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:

1. Usa el controlador de políticas de Anthos o Gatekeeper con esta plantilla de restricciones y aplícala. Por ejemplo:

   
   # Only allow the creation of Services with no
   # ExternalIP or an ExternalIP of 203.0.113.1:
   
   apiVersion: constraints.gatekeeper.sh/v1beta1
   kind: K8sExternalIPs
   metadata:
     name: external-ips
   spec:
     match:
       kinds:
         - apiGroups: [""]
           kinds: ["Service"]
     parameters:
       allowedIPs:
         - "203.0.113.1"
   

2. O instala un controlador de admisión para evitar el uso de IP externas. El proyecto de Kubernetes proporcionó un controlador de admisión de muestra para esta tarea.

Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso container.services.updateStatus que se necesita para aprovechar esta vulnerabilidad.

gcloud beta container clusters update –no-enable-service-externalips

1. A partir de la versión 1.21 de GKE, un controlador de admisión DenyServiceExternalIPs que se habilita de forma predeterminada para clústeres nuevos bloquea los servicios con ExternalIP.
2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIP mediante el siguiente comando:

   
   gcloud container clusters update –no-enable-service-externalips
   

Para obtener más información, consulta Endurece la seguridad del clúster.

El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster.

Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes.

Todos los clústeres de Anthos alojados en AWS se ven afectados por esta vulnerabilidad.

¿Qué debo hacer?

Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad.

Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general.

Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:

1. Usa el controlador de políticas de Anthos o Gatekeeper con esta plantilla de restricciones y aplícala. Por ejemplo:

   
   # Only allow the creation of Services with no
   # ExternalIP or an ExternalIP of 203.0.113.1:
   
   apiVersion: constraints.gatekeeper.sh/v1beta1
   kind: K8sExternalIPs
   metadata:
     name: external-ips
   spec:
     match:
       kinds:
         - apiGroups: [""]
           kinds: ["Service"]
     parameters:
       allowedIPs:
         - "203.0.113.1"
   

2. O instala un controlador de admisión para evitar el uso de IP externas. El proyecto de Kubernetes proporcionó un controlador de admisión de muestra para esta tarea.

Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso container.services.updateStatus que se necesita para aprovechar esta vulnerabilidad.

Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

• CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
• CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
• CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
• CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

GKE no se ve afectado.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

• CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
• CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
• CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
• CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

Los clústeres de Anthos alojados en VMware no se ven afectados.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

• CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
• CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
• CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
• CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

Los clústeres de Anthos alojados en AWS no se ven afectados.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

Afecta a todos los nodos de GKE. Los Pods que se ejecutan en GKE Sandbox no pueden aprovechar esta vulnerabilidad.

¿Qué debo hacer?

Para mitigar esta vulnerabilidad, actualiza el plano de control y, luego, los nodos a una de las versiones con el parche que se mencionan a continuación:

• 1.14.10-gke.50
  
• 1.15.12-gke.20
• 1.16.13-gke.401
• 1.17.9-gke.1504
• 1.18.6-gke.3504

Para aprovechar esta vulnerabilidad, se requiere CAP_NET_RAW, pero muy pocos contenedores suelen requerir CAP_NET_RAW. Esta y otras capacidades potentes deben bloquearse de forma predeterminada a través de PodSecurityPolicy o del controlador de políticas:

Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

• Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo de la siguiente manera:

  
      # Require dropping CAP_NET_RAW with a PSP
      apiversion: extensions/v1beta1
      kind: PodSecurityPolicy
      metadata:
        name: no-cap-net-raw
      spec:
        requiredDropCapabilities:
          -NET_RAW
           ...
           # Unrelated fields omitted

• También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricción y aplicarla, por ejemplo de la siguiente manera:

  
      # Dropping CAP_NET_RAW with Gatekeeper
      # (requires the K8sPSPCapabilities template)
      apiversion: constraints.gatekeeper.sh/v1beta1
      kind:  K8sPSPCapabilities
      metadata:
        name: forbid-cap-net-raw
      spec:
        match:
          kinds:
            - apiGroups: [""]
            kinds: ["Pod"]
          namespaces:
            #List of namespaces to enforce this constraint on
            - default
          # If running gatekeeper >= v3.1.0-beta.5,
          # you can exclude namespaces rather than including them above.
          excludedNamespaces:
            - kube-system
        parameters:
          requiredDropCapabilities:
            - "NET_RAW"

• O actualiza las especificaciones del Pod:

  
      # Dropping CAP_NET_RAW from a Pod:
      apiVersion: v1
      kind: Pod
      metadata:
        name: no-cap-net-raw
      spec:
        containers:
          -name: my-container
           ...
          securityContext:
            capabilities:
              drop:
                -NET_RAW

¿Qué vulnerabilidad trata este parche?

Este parche mitiga la siguiente vulnerabilidad:

La vulnerabilidad CVE-2020-14386, que permite que los contenedores con CAP_NET_RAW escriban entre 1 y 10 bytes de memoria del kernel y posiblemente escapan el contenedor y obtienen privilegios de administrador en el nodo de host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

Todos los nodos de clústeres de Anthos alojados en VMware se ven afectados.

¿Qué debo hacer?

Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. Las siguientes versiones de {gke_on_prem_name}} contendrán la corrección para esta vulnerabilidad, y este boletín se actualizará cuando estén disponibles:

• Clústeres de Anthos alojados en VMware 1.4.3, ya disponible
• Clústeres de Anthos alojados en VMware 1.3.4 ya disponible.

Para aprovechar esta vulnerabilidad, se requiere CAP_NET_RAW, pero muy pocos contenedores suelen requerir CAP_NET_RAW. Esta y otras capacidades potentes deben bloquearse de forma predeterminada a través de PodSecurityPolicy o del controlador de políticas:

Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

• Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo de la siguiente manera:

  
      # Require dropping CAP_NET_RAW with a PSP
      apiversion: extensions/v1beta1
      kind: PodSecurityPolicy
      metadata:
        name: no-cap-net-raw
      spec:
        requiredDropCapabilities:
          -NET_RAW
           ...
           # Unrelated fields omitted

• También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricción y aplicarla, por ejemplo de la siguiente manera:

  
      # Dropping CAP_NET_RAW with Gatekeeper
      # (requires the K8sPSPCapabilities template)
      apiversion: constraints.gatekeeper.sh/v1beta1
      kind:  K8sPSPCapabilities
      metadata:
        name: forbid-cap-net-raw
      spec:
        match:
          kinds:
            - apiGroups: [""]
            kinds: ["Pod"]
          namespaces:
            #List of namespaces to enforce this constraint on
            - default
          # If running gatekeeper >= v3.1.0-beta.5,
          # you can exclude namespaces rather than including them above.
          excludedNamespaces:
            - kube-system
        parameters:
          requiredDropCapabilities:
            - "NET_RAW"

• O actualiza las especificaciones del Pod:

  
      # Dropping CAP_NET_RAW from a Pod:
      apiVersion: v1
      kind: Pod
      metadata:
        name: no-cap-net-raw
      spec:
        containers:
          -name: my-container
           ...
          securityContext:
            capabilities:
              drop:
                -NET_RAW

¿Qué vulnerabilidad trata este parche?

Este parche mitiga la siguiente vulnerabilidad:

La vulnerabilidad CVE-2020-14386, que permite que los contenedores con CAP_NET_RAW escriban entre 1 y 10 bytes de memoria del kernel y posiblemente escapan el contenedor y obtienen privilegios de administrador en el nodo de host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

Todos los nodos de clústeres de Anthos alojados en AWS se ven afectados.

¿Qué debo hacer?

Para corregir esta vulnerabilidad, actualiza tu servicio de administración y tus clústeres de usuario a una versión con parche. Las próximas versiones de clústeres de Anthos alojados en AWS o versiones más recientes incluirán la corrección de esta vulnerabilidad, y este boletín se actualizará cuando estén disponibles:

• 1.5.0-gke.6
• 1.4.3-gke.7

Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

• Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo de la siguiente manera:

  
      # Require dropping CAP_NET_RAW with a PSP
      apiversion: extensions/v1beta1
      kind: PodSecurityPolicy
      metadata:
        name: no-cap-net-raw
      spec:
        requiredDropCapabilities:
          -NET_RAW
           ...
           # Unrelated fields omitted

• También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricción y aplicarla, por ejemplo de la siguiente manera:

  
      # Dropping CAP_NET_RAW with Gatekeeper
      # (requires the K8sPSPCapabilities template)
      apiversion: constraints.gatekeeper.sh/v1beta1
      kind:  K8sPSPCapabilities
      metadata:
        name: forbid-cap-net-raw
      spec:
        match:
          kinds:
            - apiGroups: [""]
            kinds: ["Pod"]
          namespaces:
            #List of namespaces to enforce this constraint on
            - default
          # If running gatekeeper >= v3.1.0-beta.5,
          # you can exclude namespaces rather than including them above.
          excludedNamespaces:
            - kube-system
        parameters:
          requiredDropCapabilities:
            - "NET_RAW"

• O actualiza las especificaciones del Pod:

  
      # Dropping CAP_NET_RAW from a Pod:
      apiVersion: v1
      kind: Pod
      metadata:
        name: no-cap-net-raw
      spec:
        containers:
          -name: my-container
           ...
          securityContext:
            capabilities:
              drop:
                -NET_RAW

¿Qué vulnerabilidad trata este parche?

Este parche mitiga la siguiente vulnerabilidad:

La vulnerabilidad CVE-2020-14386, que permite que los contenedores con CAP_NET_RAW escriban entre 1 y 10 bytes de memoria del kernel y posiblemente escapan el contenedor y obtienen privilegios de administrador en el nodo de host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

A fin de aprovechar esta vulnerabilidad en los clústeres de GKE, se requiere que un atacante tenga privilegios de administrador de red en el hosting de Google Cloud que aloja la VPC del clúster. Esta vulnerabilidad por sí sola no otorga privilegios de administrador de red a los atacantes. Por esta razón, a esta vulnerabilidad se le asignó una gravedad baja para GKE.

¿Qué debo hacer?

Para solucionar esta vulnerabilidad, actualiza los grupos de nodos del clúster a las siguientes versiones de GKE (y versiones posteriores):

• 1.17.7-gke.0
• 1.16.11-gke.0
• 1.16.10-gke.11
• 1.16.9-gke.14

¿Qué vulnerabilidad trata este parche?

Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558.

Baja

Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

¿Qué debo hacer?

Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. Las siguientes versiones de clústeres de Anthos alojados en VMware o las versiones más recientes contienen la corrección para esta vulnerabilidad:

• Clústeres de Anthos alojados en VMware 1.4.1

¿Qué vulnerabilidad trata este parche?

Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558.

Media

Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

A fin de aprovechar esta vulnerabilidad en los clústeres de usuario, se requiere que un atacante inhabilite las verificaciones de destino de origen en las instancias de EC2 en el clúster. El atacante debería tener permisos de IAM de AWS para ModifyInstanceAttribute o ModifyNetworkInterfaceAttribute en las instancias de EC2. Por esta razón, a esta vulnerabilidad se le asignó una gravedad baja para clústeres de Anthos alojados en AWS.

¿Qué debo hacer?

Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. Se espera que las siguientes versiones de clústeres de Anthos alojados en AWS o versiones posteriores incluyan la corrección para esta vulnerabilidad:

• Clústeres de Anthos alojados en AWS 1.4.1-gke.17

¿Qué vulnerabilidad trata este parche?

Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558.

Baja

En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

¿Qué debo hacer?

Actualiza el clúster a una versión con parche. Los clústeres se actualizarán de forma automática durante las próximas semanas, y las versiones con parche estarán disponibles a partir del 19 de julio de 2020 para una programación de actualizaciones manuales acelerada. Las siguientes versiones del plano de control de GKE o versiones posteriores contienen la corrección para esta vulnerabilidad:

• v1.14.10-gke.46
• v1.15.12-gke.8
• v1.16.9-gke.11
• v1.16.10-gke.9
• v1.16.11-gke.3+
• v1.17.7-gke.6+

¿Qué vulnerabilidad trata este parche?

Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante.

En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

¿Qué debo hacer?

Actualiza tu clúster a una versión con parche. Las siguientes versiones de clústeres de Anthos alojados en VMware o las versiones más recientes contienen la corrección para esta vulnerabilidad:

• Anthos 1.3.3
• Anthos 1.4.1

¿Qué vulnerabilidad trata este parche?

Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante.

En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

¿Qué debo hacer?

La versión de clústeres de Anthos alojados en AWS (1.4.1, disponible a fines de julio de 2020), o versiones posteriores, incluye el parche para esta vulnerabilidad. Si usas una versión anterior, descarga una versión nueva de la herramienta de línea de comandos de anthos-gke y vuelve a crear los clústeres de administrador y de usuario.

¿Qué vulnerabilidad trata este parche?

Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante.

Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se muestra a continuación. No requiere actualizar los nodos.

¿Qué debo hacer?

• 1.14.7-gke.39
• 1.14.8-gke.32
• 1.14.9-gke.17
• 1.14.10-gke.12
• 1.15.7-gke.17
• 1.16.4-gke.21
• 1.17.0-gke.0

Los clústeres que usan canales de versiones ya están en las versiones del plano de control que tiene la mitigación.

¿Qué vulnerabilidad corrige este parche?

Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control.

Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que kube-controller-manager cree solicitudes GET o POST sin un cuerpo de solicitud que controle el atacante desde la red de host de la instancia principal. En GKE rara vez se usan estos tipos de volúmenes, por lo que un uso nuevo de ellos puede ser un indicador de detección útil.

Combinados con un medio para que el atacante reciba los resultados filtrados del GET/POST (como los registros), puede provocar que se divulgue información sensible. Actualizamos los controladores de almacenamiento en cuestión para evitar la posibilidad de que ocurran tales fugas.

Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se detalla a continuación. No requiere actualizar los nodos.

¿Qué debo hacer?

Las siguientes versiones de clústeres de Anthos alojados en VMware (GKE On-Prem) o las versiones más recientes contienen la corrección para esta vulnerabilidad:

• Anthos 1.3.0

Si usas una versión anterior, actualiza el clúster existente a una versión en la que se incluya la solución.

¿Qué vulnerabilidad trata este parche?

Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control.

Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que kube-controller-manager cree solicitudes GET o POST sin un cuerpo de solicitud que controle el atacante desde la red de host de la instancia principal. En GKE rara vez se usan estos tipos de volúmenes, por lo que un uso nuevo de ellos puede ser un indicador de detección útil.

Combinados con un medio para que el atacante reciba los resultados filtrados del GET/POST (como los registros), puede provocar que se divulgue información sensible. Actualizamos los controladores de almacenamiento en cuestión para evitar la posibilidad de que ocurran tales fugas.

Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se detalla a continuación. No requiere actualizar los nodos.

¿Qué debo hacer?

clústeres de Anthos alojados en AWS (GKE en AWS) v0.2.0 o posterior ya incluye el parche para esta vulnerabilidad. Si usas una versión anterior, descarga una versión nueva de la herramienta de línea de comandos de anthos-gke y vuelve a crear los clústeres de administrador y de usuario.

¿Qué vulnerabilidad corrige este parche?

Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control.

Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que kube-controller-manager cree solicitudes GET o POST sin un cuerpo de solicitud que controle el atacante desde la red de host de la instancia principal. En GKE rara vez se usan estos tipos de volúmenes, por lo que un uso nuevo de ellos puede ser un indicador de detección útil.

Combinados con un medio para que el atacante reciba los resultados filtrados del GET/POST (como los registros), puede provocar que se divulgue información sensible. Actualizamos los controladores de almacenamiento en cuestión para evitar la posibilidad de que ocurran tales fugas.

Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Esta vulnerabilidad afecta a todos los nodos de Google Kubernetes Engine (GKE). Te recomendamos actualizar a la versión más reciente del parche, como se detalla a continuación.

¿Qué debo hacer?

• 1.14.10-gke.36
• 1.15.11-gke.15
• 1.16.8-gke.15

Por lo general, muy pocos contenedores requieren CAP_NET_RAW. Esta y otras capacidades potentes se deben bloquear de forma predeterminada mediante PodSecurityPolicy o el controlador de políticas de Anthos:

Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

• Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo de la siguiente manera:

  
      # Require dropping CAP_NET_RAW with a PSP
      apiversion: extensions/v1beta1
      kind: PodSecurityPolicy
      metadata:
        name: no-cap-net-raw
      spec:
        requiredDropCapabilities:
          -NET_RAW
           ...
           # Unrelated fields omitted

• También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricción y aplicarla, por ejemplo de la siguiente manera:

  
      # Dropping CAP_NET_RAW with Gatekeeper
      # (requires the K8sPSPCapabilities template)
      apiversion: constraints.gatekeeper.sh/v1beta1
      kind:  K8sPSPCapabilities
      metadata:
        name: forbid-cap-net-raw
      spec:
        match:
          kinds:
            - apiGroups: [""]
            kinds: ["Pod"]
          namespaces:
            #List of namespaces to enforce this constraint on
            - default
          # If running gatekeeper >= v3.1.0-beta.5,
          # you can exclude namespaces rather than including them above.
          excludedNamespaces:
            - kube-system
        parameters:
          requiredDropCapabilities:
            - "NET_RAW"

• O actualiza las especificaciones del Pod:

  
      # Dropping CAP_NET_RAW from a Pod:
      apiVersion: v1
      kind: Pod
      metadata:
        name: no-cap-net-raw
      spec:
        containers:
          -name: my-container
           ...
          securityContext:
            capabilities:
              drop:
                -NET_RAW

¿Qué vulnerabilidad corrige este parche?

El parche mitiga la siguiente vulnerabilidad:

La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad CAP_NET_RAW (que se incluye en el conjunto de capacidades del contenedor predeterminado) por configurar de forma maliciosa la pila de IPv6 en el nodo y redireccionar el tráfico del nodo al contenedor que controla el atacante. Esto permitirá que el atacante intercepte o modifique el tráfico que se origina en el nodo o que se destina a este. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como entre el kubelet y el servidor de la API, o el tráfico de aplicaciones con mTLS.

Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Esta vulnerabilidad afecta a todos los nodos de Google Kubernetes Engine (GKE). Te recomendamos actualizar a la versión más reciente del parche, como se detalla a continuación.

¿Qué debo hacer?

• Anthos 1.3.2

Por lo general, muy pocos contenedores requieren CAP_NET_RAW. Esta y otras capacidades potentes se deben bloquear de forma predeterminada mediante el controlador de políticas de Anthos o la actualización de las especificaciones del pod:

Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

• Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo de la siguiente manera:

  
      # Require dropping CAP_NET_RAW with a PSP
      apiversion: extensions/v1beta1
      kind: PodSecurityPolicy
      metadata:
        name: no-cap-net-raw
      spec:
        requiredDropCapabilities:
          -NET_RAW
           ...
           # Unrelated fields omitted

• También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricción y aplicarla, por ejemplo de la siguiente manera:

  
      # Dropping CAP_NET_RAW with Gatekeeper
      # (requires the K8sPSPCapabilities template)
      apiversion: constraints.gatekeeper.sh/v1beta1
      kind:  K8sPSPCapabilities
      metadata:
        name: forbid-cap-net-raw
      spec:
        match:
          kinds:
            - apiGroups: [""]
            kinds: ["Pod"]
          namespaces:
            #List of namespaces to enforce this constraint on
            - default
          # If running gatekeeper >= v3.1.0-beta.5,
          # you can exclude namespaces rather than including them above.
          excludedNamespaces:
            - kube-system
        parameters:
          requiredDropCapabilities:
            - "NET_RAW"

• O actualiza las especificaciones del Pod:

  
      # Dropping CAP_NET_RAW from a Pod:
      apiVersion: v1
      kind: Pod
      metadata:
        name: no-cap-net-raw
      spec:
        containers:
          -name: my-container
           ...
          securityContext:
            capabilities:
              drop:
                -NET_RAW

¿Qué vulnerabilidad corrige este parche?

El parche mitiga la siguiente vulnerabilidad:

La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad CAP_NET_RAW (que se incluye en el conjunto de capacidades del contenedor predeterminado) por configurar de forma maliciosa la pila de IPv6 en el nodo y redireccionar el tráfico del nodo al contenedor que controla el atacante. Esto permitirá que el atacante intercepte o modifique el tráfico que se origina en el nodo o que se destina a este. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como entre el kubelet y el servidor de la API, o el tráfico de aplicaciones con mTLS.

Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Esta vulnerabilidad afecta a todos los nodos de Google Kubernetes Engine (GKE). Te recomendamos actualizar a la versión más reciente del parche, como se detalla a continuación.

¿Qué debo hacer?

Descarga la herramienta de línea de comandos de anthos-gke con la siguiente versión o una más reciente y vuelve a crear los clústeres de administrador y de usuario:

• aws-0.2.1-gke.7

Por lo general, muy pocos contenedores requieren CAP_NET_RAW. Esta y otras capacidades potentes se deben bloquear de forma predeterminada mediante el controlador de políticas de Anthos o la actualización de las especificaciones del pod:

Quita la capacidad CAP_NET_RAW de los contenedores con uno de los siguientes métodos:

• Aplica el bloqueo de estas capacidades con PodSecurityPolicy, por ejemplo de la siguiente manera:

  
      # Require dropping CAP_NET_RAW with a PSP
      apiversion: extensions/v1beta1
      kind: PodSecurityPolicy
      metadata:
        name: no-cap-net-raw
      spec:
        requiredDropCapabilities:
          -NET_RAW
           ...
           # Unrelated fields omitted

• También puedes usar el controlador de políticas o Gatekeeper con esta plantilla de restricción y aplicarla, por ejemplo de la siguiente manera:

  
      # Dropping CAP_NET_RAW with Gatekeeper
      # (requires the K8sPSPCapabilities template)
      apiversion: constraints.gatekeeper.sh/v1beta1
      kind:  K8sPSPCapabilities
      metadata:
        name: forbid-cap-net-raw
      spec:
        match:
          kinds:
            - apiGroups: [""]
            kinds: ["Pod"]
          namespaces:
            #List of namespaces to enforce this constraint on
            - default
          # If running gatekeeper >= v3.1.0-beta.5,
          # you can exclude namespaces rather than including them above.
          excludedNamespaces:
            - kube-system
        parameters:
          requiredDropCapabilities:
            - "NET_RAW"

• O actualiza las especificaciones del Pod:

  
      # Dropping CAP_NET_RAW from a Pod:
      apiVersion: v1
      kind: Pod
      metadata:
        name: no-cap-net-raw
      spec:
        containers:
          -name: my-container
           ...
          securityContext:
            capabilities:
              drop:
                -NET_RAW

¿Qué vulnerabilidad corrige este parche?

El parche mitiga la siguiente vulnerabilidad:

La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad CAP_NET_RAW (que se incluye en el conjunto de capacidades del contenedor predeterminado) por configurar de forma maliciosa la pila de IPv6 en el nodo y redireccionar el tráfico del nodo al contenedor que controla el atacante. Esto permitirá que el atacante intercepte o modifique el tráfico que se origina en el nodo o que se destina a este. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como entre el kubelet y el servidor de la API, o el tráfico de aplicaciones con mTLS.

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-8835, que permite obtener privilegios de administrador en el nodo host mediante un escape de contenedor.

Esta vulnerabilidad afecta a los nodos de Google Kubernetes Engine (GKE) de Ubuntu que se ejecutan en GKE 1.16 o 1.17, por lo que te recomendamos actualizar a la versión de parche más reciente lo antes posible, como se muestra a continuación.

Los nodos que ejecutan Container-Optimized OS no se ven afectados. Los nodos que se ejecutan en clústeres de Anthos alojados en VMware no se ven afectados.

¿Qué debo hacer?

La mayoría de los clientes no debe realizar ninguna acción adicional. Solo se ven afectados los nodos que ejecutan Ubuntu en la versión 1.16 o 1.17 de GKE.

Para poder actualizar los nodos, primero debes actualizar la instancia principal a la versión más reciente. Este parche estará disponible en Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 y en versiones más recientes. Haz un seguimiento de la disponibilidad de estos parches en las notas de la versión.

¿Qué vulnerabilidad corrige este parche?

Este parche mitiga la siguiente vulnerabilidad:

CVE-2020-8835 es una vulnerabilidad en la versión 5.5.0 y posteriores del kernel de Linux que permite que un contenedor malicioso (con una interacción mínima del usuario mediante un ejecutable) lea y escriba en la memoria del kernel para lograr la ejecución de código con permisos de administrador en el nodo host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

Hace poco, se descubrió una vulnerabilidad en Kubernetes, descrita en CVE-2019-11254, que permite que cualquier usuario con autorización para realizar solicitudes POST ejecute un ataque de denegación del servicio de forma remota en un servidor de la API de Kubernetes. El Comité de seguridad de productos (PSC) de Kubernetes publicó información adicional sobre esta vulnerabilidad, que puedes encontrar aquí.

Puedes mitigar esta vulnerabilidad si limitas los clientes que tienen acceso a la red de los servidores de la API de Kubernetes.

¿Qué debo hacer?

Te recomendamos actualizar los clústeres a versiones del parche en las que se incluya la solución para esta vulnerabilidad en cuanto estén disponibles.

Estas son las versiones de parche que incluyen la corrección:

• Anthos 1.3.0, que ejecuta la versión 1.15.7-gke.32 de Kubernetes

¿Qué vulnerabilidades trata este parche?

El parche corrige la siguiente vulnerabilidad de denegación del servicio (DoS):

CVE‑2019‑11254

Hace poco, se descubrió una vulnerabilidad en Kubernetes, descrita en CVE-2019-11254, que permite que cualquier usuario con autorización para realizar solicitudes POST ejecute un ataque de denegación del servicio de forma remota en un servidor de la API de Kubernetes. El Comité de seguridad de productos (PSC) de Kubernetes publicó información adicional sobre esta vulnerabilidad, que puedes encontrar aquí.

Los clústeres de GKE que usan redes autorizadas para instancias principales y clústeres privados sin extremo público mitigan esta vulnerabilidad.

¿Qué debo hacer?

Te recomendamos que actualices el clúster a una versión de parche que incluya la corrección para esta vulnerabilidad.

Estas son las versiones de parche que incluyen la corrección:

• 1.13.12‑gke.29
• 1.14.9‑gke.27
• 1.14.10‑gke.24
• 1.15.9‑gke.20
• 1.16.6‑gke.1

¿Qué vulnerabilidades corrige este parche?

El parche corrige la siguiente vulnerabilidad de denegación del servicio (DoS):

CVE‑2019‑11254

Kubernetes divulgó dos vulnerabilidades de denegación del servicio: una que afecta al servidor de la API y otra que afecta a Kubelets. Para conocer más detalles, consulta los problemas de Kubernetes 89377 y 89378.

¿Qué debo hacer?

Todos los usuarios de GKE están protegidos contra la vulnerabilidad CVE‑2020‑8551, excepto en los casos en que se permita que usuarios no confiables puedan enviar solicitudes en la red interna del clúster. El uso de redes autorizadas para instancias principales también brinda protección contra la vulnerabilidad CVE‑2020‑8552.

¿Cuándo se aplicarán parches para corregir estas vulnerabilidades?

Los parches para CVE‑2020‑8551 requieren actualizar los nodos. Estas son las versiones de parche que incluirán la mitigación:

• 1.15.10‑gke.*
• 1.16.7‑gke.*

Los parches para CVE‑2020‑8552 requieren actualizar las instancias principales. Estas son las versiones de parche que incluirán la mitigación:

• 1.14.10‑gke.32
• 1.15.10‑gke.*
• 1.16.7‑gke.*

Actualización del 24/01/2020: El proceso para que las versiones con parche estén disponibles ya se está llevando a cabo y se completará el 25 de enero de 2020.

Microsoft divulgó una vulnerabilidad en la API de Windows Crypto y la validación de las firmas de curva elíptica. Si deseas obtener más información, puedes consultar el aviso de Microsoft al respecto.

¿Qué debo hacer?

La mayoría de los clientes no debe realizar ninguna acción adicional. Solo los nodos que se ejecutan en Windows Server se ven afectados.

Para mitigar la vulnerabilidad, los clientes que usan nodos en Windows Server deben actualizar los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos a las versiones con parche.

Para actualizar los contenedores, sigue estos pasos:

Vuelve a compilar tus contenedores con las imágenes base de contenedor de Microsoft más actuales. Para ello, debes seleccionar una etiqueta servercore o nanoserver cuya última fecha de actualización sea el 14/01/2020 o posterior.

Actualización de nodos:

El proceso para que las versiones de parche estén disponibles ya se está llevando a cabo y se completará el 24 de enero de 2020.

Puedes esperar hasta esa fecha y actualizar el nodo a una versión de GKE con parche o puedes usar Windows Update en cualquier momento para implementar el último parche de Windows de forma manual.

Estas son las versiones con parche que contendrán la mitigación:

• 1.14.7-gke.40
• 1.14.8-gke.33
• 1.14.9-gke.23
• 1.14.10-gke.17
• 1.15.7-gke.23
• 1.16.4-gke.22

¿Qué vulnerabilidades corrige este parche?

Este parche mitiga las siguientes vulnerabilidades:

CVE‑2020‑0601: Esta vulnerabilidad también se conoce como la Windows Crypto API Spoofing Vulnerability (Vulnerabilidad de falsificación de identidad de la API de Windows Crypto) y se puede usar para que los archivos ejecutables maliciosos parezcan confiables o a fin de permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones TLS del software afectado.

Puntuación base de la NVD: 8.1 (alta)