Buletin keamanan

Semua buletin keamanan untuk produk berikut dijelaskan di halaman ini:

  • Google Kubernetes Engine (GKE)
  • GKE on VMware
  • GKE on AWS
  • GKE on Azure
  • GKE on Bare Metal

Kerentanan sering dirahasiakan dengan embargo sampai pihak yang terdampak memiliki kesempatan untuk mengatasinya. Dalam hal ini, catatan rilis produk akan merujuk pada "update keamanan" hingga embargo dicabut. Pada tahap ini, catatan akan diperbarui untuk menunjukkan kerentanan yang dapat diatasi patch.

Saat GKE mengeluarkan buletin keamanan yang berkaitan langsung dengan konfigurasi atau versi cluster Anda, kami mungkin mengirimi Anda notifikasi cluster SecurityBulletinEvent yang memberikan informasi tentang kerentanan dan tindakan yang dapat Anda lakukan, jika berlaku. Untuk mengetahui informasi tentang cara menyiapkan notifikasi cluster, baca Notifikasi cluster.

Untuk mengetahui informasi selengkapnya tentang cara Google mengelola patch dan kerentanan keamanan untuk GKE dan GKE Enterprise, lihat Patching keamanan.

Platform GKE dan GKE Enterprise tidak menggunakan komponen seperti ingress-nginx dan runtime container CRI-O, dan tidak terpengaruh oleh kerentanan dalam komponen tersebut. Jika Anda menginstal komponen dari sumber lain, lihat update keamanan dan saran patching komponen tersebut di sumbernya.

Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini. Langganan

GCP-2024-018

Dipublikasikan: 12-03-2024
Referensi: CVE-2024-1085

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-1085

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-017

Dipublikasikan: 06-03-2024
Referensi: CVE-2023-3611

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3611

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-014

Dipublikasikan: 26-02-2024
Referensi: CVE-2023-3776

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3776

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-013

Dipublikasikan: 23-02-2024
Referensi: CVE-2023-3610

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3610

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-012

Dipublikasikan: 20-02-2024
Referensi: CVE-2024-0193

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-0193

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-011

Dipublikasikan: 15-02-2024
Referensi: CVE-2023-6932

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-6932

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-010

Dipublikasikan: 14-02-2024
Referensi: CVE-2023-6931

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6931

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-008

Dipublikasikan: 12-02-2024
Referensi: CVE-2023-5528

GKE

Deskripsi Keseriusan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

Cluster GKE Standard yang menjalankan node Windows Server dan menggunakan plugin in-tree storage mungkin terpengaruh.

Cluster GKE Autopilot dan node pool GKE yang menggunakan GKE Sandbox tidak terpengaruh karena tidak mendukung node Windows Server.

Apa yang harus saya lakukan?

Tentukan apakah Anda memiliki node Windows Server yang digunakan pada cluster:


kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk mengetahui bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi atau tidak. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat dari eksploitasi.

Update cluster GKE dan node pool ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade kumpulan node cluster dan Windows Server secara manual ke salah satu versi GKE berikut atau yang lebih baru:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

Tinggi

GKE on VMware

Deskripsi Keseriusan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

Cluster GKE di VMware yang menjalankan node Windows Server dan menggunakan plugin in-tree storage mungkin akan terpengaruh.

Apa yang harus saya lakukan?

Tentukan apakah Anda memiliki node Windows Server yang digunakan pada cluster:


kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk mengetahui bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi atau tidak. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat dari eksploitasi.

Update GKE Anda di cluster VMware dan node pool ke versi yang di-patch. Versi GKE di VMware berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade kumpulan node cluster dan Windows Server secara manual ke salah satu versi GKE di VMware berikut atau yang lebih baru:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

Tinggi

GKE on AWS

Deskripsi Keseriusan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

GKE pada cluster AWS tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on Azure

Deskripsi Keseriusan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

GKE pada cluster Azure tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on Bare Metal

Deskripsi Keseriusan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

GKE pada cluster Bare Metal tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GCP-2024-005

Dipublikasikan: 2024-01-31
Diperbarui: 2024-03-06
Referensi: CVE-2024-21626

Update 06-03-2024: Menambahkan versi patch untuk GKE di VMware
Update 28-02-2024: Penambahan versi patch untuk Ubuntu
Update 15-02-2024: Memperjelas bahwa versi patch Ubuntu 1.25 dan 1.26 pada update node 14-02-2024 dapat menyebabkan status yang tidak responsif.
Update 14-02-2024: Penambahan versi patch untuk Ubuntu
Update 06-02-2024: Menambahkan versi patch untuk Container-Optimized OS.

GKE

Diperbarui: 06-03-2024

Deskripsi Keseriusan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, yakni pengguna dengan izin untuk membuat Pod di node Ubuntu dan Container-Optimized OS mungkin dapat memperoleh akses penuh ke sistem file node.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 28-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Update 15-02-2024: Karena terjadi masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak responsif. Jangan upgrade ke versi patch berikut. Kami akan memperbarui buletin ini ketika versi patch yang lebih baru untuk Ubuntu tersedia untuk 1.25 dan 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Jika Anda sudah mengupgrade ke salah satu versi patch ini, downgrade secara manual kumpulan node Anda ke versi sebelumnya di saluran rilis.


Update 14-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Update 06-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Untuk tujuan keamanan, meskipun jika upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade kumpulan node cluster dan Container-Optimized OS secara manual ke salah satu versi GKE berikut atau yang lebih baru:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.


Kami mengupdate GKE dengan kode untuk memperbaiki kerentanan ini. Kami akan memperbarui buletin ini saat versi patch tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk menghasilkan dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskriptor file secara tidak sengaja bocor ke dalam proses runc init yang berjalan di dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskriptor file yang bocor dan tidak adanya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, yakni pengguna dengan izin untuk membuat Pod di node Ubuntu dan Container-Optimized OS mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-03-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Versi patch dan penilaian tingkat keparahan untuk GKE di VMware sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk menghasilkan dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskriptor file secara tidak sengaja bocor ke dalam proses runc init yang berjalan di dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskriptor file yang bocor dan tidak adanya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Tinggi

GKE on AWS

Deskripsi Keseriusan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, yakni pengguna dengan izin untuk membuat Pod di node Ubuntu dan Container-Optimized OS mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk menghasilkan dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskriptor file secara tidak sengaja bocor ke dalam proses runc init yang berjalan di dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskriptor file yang bocor dan tidak adanya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Tinggi

GKE on Azure

Deskripsi Keseriusan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, yakni pengguna dengan izin untuk membuat Pod di node Ubuntu dan Container-Optimized OS mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk menghasilkan dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskriptor file secara tidak sengaja bocor ke dalam proses runc init yang berjalan di dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskriptor file yang bocor dan tidak adanya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Tinggi

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, yakni pengguna yang memiliki izin untuk membuat Pod mungkin bisa memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Versi patch dan penilaian tingkat keparahan untuk GKE di Bare Metal sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk menghasilkan dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskriptor file secara tidak sengaja bocor ke dalam proses runc init yang berjalan di dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir container berada di dalam namespace pemasangan container. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskriptor file yang bocor dan tidak adanya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host dan menimpa biner arbitrer pada node.

Tinggi

GCP-2024-004

Dipublikasikan: 2024-01-24
Diperbarui: 2024-02-07
Referensi: CVE-2023-6817

Update 07-02-2024: Menambahkan versi patch untuk Ubuntu.

GKE

Diperbarui: 07-02-2024

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6817

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 07-02-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-003

Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024
26-01-2024 Update: Mengklarifikasi jumlah cluster yang terpengaruh dan tindakan yang kami lakukan untuk membantu mengurangi dampaknya.

GKE

Diperbarui: 26-01-2024

Deskripsi Keseriusan

Update 26-01-2024: Riset keamanan yang menemukan sejumlah kecil cluster GKE dengan kesalahan konfigurasi buatan pelanggan yang melibatkan grup system:authenticated kini telah dipublikasikan. Postingan blog peneliti mengacu pada 1.300 cluster dengan beberapa binding yang salah dikonfigurasi, dan 108 cluster dengan hak istimewa tinggi. Kami telah bekerja sama dengan pelanggan yang terpengaruh untuk memberi tahu mereka dan membantu menghapus binding yang salah dikonfigurasi.


Kami telah mengidentifikasi beberapa cluster tempat pengguna memberikan hak istimewa Kubernetes ke grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa terendah dan memberikan akses ke sekelompok pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk mengetahui petunjuk cara menemukan jenis binding ini.

Baru-baru ini, seorang peneliti keamanan melaporkan temuan cluster dengan kesalahan konfigurasi RBAC melalui program pelaporan kerentanan kami.

Pendekatan Google terhadap autentikasi adalah menjadikan autentikasi ke Google Cloud dan GKE sesederhana dan seaman mungkin tanpa perlu menambahkan langkah-langkah konfigurasi yang kompleks. Authentication hanya memberi tahu kita siapa penggunanya; Otorisasi adalah tempat akses ditentukan. Jadi, grup system:authenticated di GKE yang berisi semua pengguna yang diautentikasi melalui penyedia identitas Google berfungsi sebagaimana mestinya dan berfungsi dengan cara yang sama seperti ID allAuthenticatedUsers IAM.

Dengan mempertimbangkan hal ini, kami telah mengambil beberapa langkah untuk mengurangi risiko pengguna melakukan error otorisasi pada pengguna dan grup bawaan Kubernetes, termasuk system:anonymous, system:authenticated, dan system:unauthenticated. Semua pengguna/grup ini menimbulkan risiko bagi cluster jika izin diberikan. Kita telah membahas beberapa aktivitas penyerang yang menarget kesalahan konfigurasi RBAC dan pertahanan yang tersedia di Kubecon pada November 2023.

Untuk melindungi pengguna dari kesalahan otorisasi yang tidak disengaja pada pengguna/grup sistem ini, kami telah:

  • Secara default memblokir binding baru ClusterRole cluster-admin istimewa untuk Pengguna system:anonymous, Grup system:authenticated, atau Grup system:unauthenticated di GKE versi 1.28.
  • Membangun aturan deteksi ke dalam Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) sebagai bagian dari Security Command Center.
  • Membuat aturan pencegahan yang dapat dikonfigurasi ke Pengontrol Kebijakan dengan K8sRestrictRoleBindings.
  • Mengirim notifikasi email ke semua pengguna GKE dengan binding ke pengguna/grup ini untuk meminta mereka meninjau konfigurasi.
  • Membangun fitur otorisasi jaringan dan membuat rekomendasi untuk membatasi akses jaringan ke cluster sebagai lapisan pertahanan pertama.
  • Meningkatkan awareness tentang masalah ini melalui diskusi di Kubecon pada November 2023.

Cluster yang menerapkan pembatasan jaringan yang diizinkan memiliki lapisan pertahanan pertama: tidak dapat diserang secara langsung dari Internet. Namun, sebaiknya hapus binding ini untuk mendapatkan pertahanan mendalam dan mencegah error dalam kontrol jaringan.
Perhatikan, ada sejumlah kasus saat binding ke pengguna atau grup sistem Kubernetes sengaja digunakan: misalnya untuk bootstrapping kubeadm, dasbor rancher, dan rahasia tertutup Bitnami. Kami telah mengonfirmasi dengan vendor software tersebut bahwa binding tersebut berfungsi sebagaimana mestinya.

Kami terus menyelidiki cara untuk memberikan perlindungan lebih terhadap kesalahan konfigurasi RBAC pengguna dengan pengguna/grup sistem ini melalui pencegahan dan deteksi.

Apa yang harus saya lakukan?

Untuk mencegah binding baru dari cluster-admin ke Pengguna system:anonymous, Grup system:authenticated, atau system:unauthenticated Grup dapat melakukan upgrade ke GKE v1.28 atau yang lebih baru (catatan rilis), tempat pembuatan binding tersebut akan diblokir.

Binding yang ada harus ditinjau dengan mengikuti panduan ini.

Sedang

GKE on VMware

Tidak ada pembaruan saat ini.

GKE on AWS

Tidak ada pembaruan saat ini.

GKE on Azure

Tidak ada pembaruan saat ini.

GKE on Bare Metal

Tidak ada pembaruan saat ini.

GCP-2024-002

Dipublikasikan: 2024-01-17
Diperbarui: 2024-02-20
Referensi: CVE-2023-6111

Update 20-02-2024: Menambahkan versi patch untuk GKE di VMware.

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 20-02-2024

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Update 20-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100


Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-051

Dipublikasikan: 28-12-2023
Referensi: CVE-2023-3609

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3609

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-050

Dipublikasikan: 27-12-2023
Referensi: CVE-2023-3389

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3389

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-049

Dipublikasikan: 20-12-2023
Referensi: CVE-2023-3090

GKE

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3090

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-048

Dipublikasikan: 2023-12-15
Diperbarui: 2023-12-21
Referensi: CVE-2023-3390

Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

GKE

Diperbarui: 21-12-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3390

Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-047

Dipublikasikan: 14-12-2023

GKE

Deskripsi Keseriusan

Penyerang yang telah membobol container logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Anthos Service Mesh (pada cluster yang telah mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah pada Fluent Bit dan Anthos Service Mesh telah dimitigasi dan perbaikan kini tersedia. Kerentanan ini tidak dapat dieksploitasi sendiri di GKE dan memerlukan penyusupan awal. Kami tidak mengetahui adanya contoh eksploitasi kerentanan ini.

Masalah ini dilaporkan melalui Program Reward Kerentanan kami.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Fluent Bit dan untuk pengguna Anthos Service Mesh terkelola. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut atau yang lebih baru:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis spesifik Anda

Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Kerentanan apa yang ditangani oleh patch ini?

Kerentanan yang diatasi buletin ini mengharuskan penyerang menyusupi container logging Fluent Bit. Kami tidak mengetahui adanya kerentanan yang ada di Fluent Bit yang akan menyebabkan kondisi prasyarat untuk eskalasi hak istimewa ini. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang

GKE menggunakan Fluent Bit untuk memproses log untuk beban kerja yang berjalan di cluster. Fluent Bit di GKE juga telah dikonfigurasi untuk mengumpulkan log untuk workload Cloud Run. Pemasangan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Fluent Bit akses ke token akun layanan Kubernetes untuk Pod lain yang berjalan pada node tersebut. Peneliti menggunakan akses ini untuk menemukan token akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Anthos Service Mesh.

Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster

Kami telah menghapus akses Fluent Bit ke token akun layanan dan telah mendesain ulang fungsi Anthos Service Mesh untuk menghapus hak istimewa berlebih.

Sedang

GKE on VMware

Deskripsi Keseriusan

Hanya cluster GKE di VMware yang menggunakan Anthos Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang diatasi buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening guna mencegah potensi rantai serangan penuh di masa mendatang.

Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsionalitas Anthos Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GKE on AWS

Deskripsi Keseriusan

Hanya GKE pada cluster AWS yang menggunakan Anthos Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang diatasi buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh di masa mendatang.

Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsionalitas Anthos Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GKE on Azure

Deskripsi Keseriusan

Hanya GKE di cluster Azure yang menggunakan Anthos Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang diatasi buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh di masa mendatang.

Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsionalitas Anthos Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GKE on Bare Metal

Deskripsi Keseriusan

Hanya GKE pada cluster Bare Metal yang menggunakan Anthos Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang diatasi buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh di masa mendatang.

Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsionalitas Anthos Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GCP-2023-046

Dipublikasikan: 2023-11-22
Diperbarui: 2024-03-04
Referensi: CVE-2023-5717

Update 04-03-2024: Menambahkan versi GKE untuk GKE di VMware.

Update 22-01-2024: Menambahkan versi patch Ubuntu.

GKE

Diperbarui: 22-01-2024

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5717

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 22-01-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 29-02-2024

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Update 04-03-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Tinggi

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-045

Dipublikasikan: 2023-11-20
Diperbarui: 2023-12-21
Referensi: CVE-2023-5197

Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

GKE

Diperbarui: 21-12-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5197

Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-042

Dipublikasikan: 2023-11-13
Diperbarui: 2023-11-15
Referensi: CVE-2023-4147

Update 15-11-2023: Klarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch dan sesuai dengan GKE.

GKE

Diperbarui: 15-11-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4147

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot tidak terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang di-patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node Anda. Misalnya, jika menggunakan GKE versi 1.27, Anda harus mengupgradenya ke versi yang di-patch terkait. Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu mengupgrade ke versi yang di-patch.


Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi yang di-patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-041

Dipublikasikan: 2023-11-08
Diperbarui: 2023-11-21, 2023-12-05, 2023-12-21
Referensi: CVE-2023-4004

Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Update 05-12-2023: Menambahkan versi GKE tambahan untuk kumpulan node OS yang Dioptimalkan untuk Container.

Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4004

Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar versi GKE terbaru yang dapat Anda update dengan Container-Optimized OS:

  • 1.24.17-gke.200 atau yang lebih baru
  • 1.25.13-gke.200 atau yang lebih baru
  • 1.26.8-gke.200 atau yang lebih baru
  • 1.27.4-gke.2300 atau yang lebih baru
  • 1.28.1-gke.1257000 atau yang lebih baru

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-040

Dipublikasikan: 2023-11-06
Diperbarui: 2023-11-21, 2023-12-21
Referensi: CVE-2023-4921

Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4921

Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-039

Dipublikasikan: 2023-11-06
Diperbarui: 2023-11-21, 2023-11-16
Referensi: CVE-2023-4622

Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.

Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan dalam buletin keamanan versi sebelumnya.

GKE

Diperbarui: 21-11-2023, 16-11-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Cluster autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Diperbarui: 16-11-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Diperbarui: 16-11-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Diperbarui: 16-11-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Diperbarui: 16-11-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-038

Dipublikasikan: 2023-11-06
Diperbarui: 2023-11-21, 2023-12-21
Referensi: CVE-2023-4623

Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-037

Dipublikasikan: 2023-11-06
Diperbarui: 2023-11-21, 2023-12-21
Referensi: CVE-2023-4015

Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4015

Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.27.5-gke.1647000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Dalam proses

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Dalam proses

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Dalam proses

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-035

Dipublikasikan: 2023-10-26
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Tinggi

GCP-2023-033

Dipublikasikan: 2023-10-24
Diperbarui: 2023-11-21, 2023-12-21
Referensi: CVE-2023-3777

Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.

Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3777

Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN. Workload GKE Sandbox juga tidak terpengaruh.

Cluster autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox akan terkena dampak.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on AWS

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on Azure

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3777

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

GCP-2023-030

Dipublikasikan: 2023-10-10
Diperbarui: 2024-03-20
Referensi: CVE-2023-44487CVE-2023-39325

Update 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure
Update 14-02-2024: Menambahkan versi patch untuk GKE di VMware
Update 09-11-2023: Menambahkan CVE-2023-39325. Update versi GKE dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.

GKE

Diperbarui: 09-11-2023

Deskripsi Keseriusan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh.

Apa yang harus saya lakukan?

Update 09-11-2023: Kami telah merilis versi baru GKE yang mencakup patch keamanan Go dan Kubernetes, yang dapat Anda gunakan untuk mengupdate cluster hingga saat ini. Dalam beberapa minggu mendatang, kami akan merilis perubahan tambahan pada bidang kontrol GKE untuk lebih memitigasi masalah ini.

Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Sebaiknya Anda menerapkan mitigasi berikut sesegera mungkin dan mengupgrade ke versi terbaru yang di-patch jika tersedia.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang harus diupgrade dari bidang kontrol Anda, dan juga membuat patch terlihat dalam postur keamanan GKE saat tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, aktifkan notifikasi cluster.

Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Kurangi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat menambahkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut, lihat jaringan yang diizinkan untuk cluster yang ada.

Selain jaringan resmi yang Anda tambahkan, ada alamat IP preset yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint bidang kontrol. Item berikut meringkas isolasi cluster:

  • Cluster pribadi dengan --master-authorized-networks dan cluster berbasis PSC dengan --master-authorized-networks dan --no-enable-google-cloud telah dikonfigurasi adalah yang paling terisolasi.
  • Cluster publik lama dengan --master-authorized-networks dan cluster berbasis PSC dengan --master-authorized-networks dan --enable-google-cloud (default) yang dikonfigurasi juga dapat diakses dengan cara berikut:
    • Alamat IP publik semua VM Compute Engine di Google Cloud
    • Alamat IP Google Cloud Platform

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol GKE.

Tinggi

GKE on VMware

Diperbarui: 14-02-2024

Deskripsi Keseriusan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan dapat menyebabkan DoS bidang kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang tidak dapat diakses langsung ke Internet secara default dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 14-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi patch berikut atau yang lebih baru:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Jika Anda telah mengonfigurasi GKE pada cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang akan menjadi tujuan upgrade bidang kontrol Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol Kubernetes.

Tinggi

GKE on AWS

Deskripsi Keseriusan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan dapat menyebabkan DoS bidang kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang tidak dapat diakses langsung ke Internet secara default dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: GKE pada versi AWS berikut telah diupdate dengan patch untuk CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di AWS agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang akan menjadi tujuan upgrade bidang kontrol Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol Kubernetes.

Tinggi

GKE on Azure

Deskripsi Keseriusan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan dapat menyebabkan DoS bidang kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang tidak dapat diakses langsung ke Internet secara default dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: GKE pada versi Azure berikut telah diupdate dengan patch untuk CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE pada cluster Azure agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang akan menjadi tujuan upgrade bidang kontrol Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol Kubernetes.

Tinggi

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan dapat menyebabkan DoS bidang kontrol Kubernetes. Anthos di Bare Metal membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah mengonfigurasi Anthos pada cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE di Bare Metal.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang akan menjadi tujuan upgrade bidang kontrol Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol Kubernetes.

Tinggi

GCP-2023-026

Dipublikasikan: 06-09-2023
Referensi: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE

Deskripsi Keseriusan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI.

Cluster GKE hanya akan terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

Bidang kontrol GKE akan diupdate pada 04-09-2023 untuk mengupdate csi-proxy ke versi 1.1.3. Jika mengupdate node sebelum update bidang kontrol, Anda harus mengupdate node lagi setelah update dilakukan untuk memanfaatkan proxy baru. Anda dapat mengupdate node lagi, bahkan tanpa mengubah versi node, dengan menjalankan perintah gcloud container clusters upgrade dan meneruskan flag --cluster-version dengan versi GKE yang sama dengan yang sudah dijalankan oleh kumpulan node. Anda harus menggunakan gcloud CLI untuk solusi ini. Perhatikan bahwa tindakan ini akan menyebabkan update terlepas dari masa pemeliharaan.

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis spesifik Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan meneruskan string jalur yang dibuat ini ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian string tersebut sebagai perintah terpisah. Perintah-perintah ini akan dijalankan dengan hak istimewa administratif yang sama seperti Kubelet.

Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin hak istimewa.

Pada CVE-2023-3893, kurangnya sanitasi input yang serupa memungkinkan pengguna yang dapat membuat Pod pada node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell yang tersemat merupakan indikasi kuat terjadinya eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell tersemat dan terpasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI.

Cluster hanya akan terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan meneruskan string jalur yang dibuat ini ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian string tersebut sebagai perintah terpisah. Perintah-perintah ini akan dijalankan dengan hak istimewa administratif yang sama seperti Kubelet.

Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin hak istimewa.

Pada CVE-2023-3893, kurangnya sanitasi input yang serupa memungkinkan pengguna yang dapat membuat Pod pada node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell yang tersemat merupakan indikasi kuat terjadinya eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell tersemat dan terpasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi.

Tinggi

GKE on AWS

Deskripsi Keseriusan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keseriusan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Bare Metal

Deskripsi Keseriusan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-018

Dipublikasikan: 27-06-2023
Referensi: CVE-2023-2235

GKE

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node OS yang Dioptimalkan untuk Container. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node OS yang Dioptimalkan untuk Container akan terpengaruh.

Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum versi 1.25, atau menggunakan GKE Sandbox.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara kandung peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan pemanggilan list_del_event() sebelum melepaskan diri dari grup, sehingga memungkinkan penggunaan pointer menggantung yang menyebabkan kerentanan use-after-free.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE pada VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara kandung peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan pemanggilan list_del_event() sebelum melepaskan diri dari grup, sehingga memungkinkan penggunaan pointer menggantung yang menyebabkan kerentanan use-after-free.

Tinggi

GKE on AWS

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara kandung peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan pemanggilan list_del_event() sebelum melepaskan diri dari grup, sehingga memungkinkan penggunaan pointer menggantung yang menyebabkan kerentanan use-after-free.

Tinggi

GKE on Azure

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara kandung peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan pemanggilan list_del_event() sebelum melepaskan diri dari grup, sehingga memungkinkan penggunaan pointer menggantung yang menyebabkan kerentanan use-after-free.

Tinggi

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-017

Dipublikasikan: 26-06-2023
Diperbarui: 2023-07-11
Referensi: CVE-2023-31436

Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-31436.

GKE

Diperbarui: 11-07-2023

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 11-07-2023: Versi patch Ubuntu tersedia.

Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, cacat akses memori di luar batas ditemukan di subsistem kontrol lalu lintas kernel Linux (QoS) dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE pada VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, cacat akses memori di luar batas ditemukan di subsistem kontrol lalu lintas kernel Linux (QoS) dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Tinggi

GKE on AWS

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, cacat akses memori di luar batas ditemukan di subsistem kontrol lalu lintas kernel Linux (QoS) dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Tinggi

GKE on Azure

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, cacat akses memori di luar batas ditemukan di subsistem kontrol lalu lintas kernel Linux (QoS) dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Tinggi

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-016

Dipublikasikan: 26-06-2023
Referensi: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, 13492, 1349202 2349 CVE-2023-27488CVE-2023-27487

GKE

Deskripsi Keseriusan

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Anthos Service Mesh (ASM). Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE tidak diluncurkan dengan ASM dan tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002.

Tidak ada

GKE on VMware

Deskripsi Keseriusan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27488, dapat menyebabkan error di GKE Service, ditemukan di Envoy di Anthos, Ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth diaktifkan, pelaku kejahatan dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti sertifikat pembanding SAN.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu error penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan pada awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Tinggi

GKE on AWS

Deskripsi Keseriusan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, digunakan di Envoy Service, telah ditemukan di Envoy Service, Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE pada AWS tidak dikirimkan dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keseriusan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, digunakan di Envoy Service, telah ditemukan di Envoy Service, Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di Azure tidak dikirimkan dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Bare Metal

Deskripsi Keseriusan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, berbahaya dari Mevoy, dapat digunakan di Envoy Mevoy, Ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE berikut di Bare Metal telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna ke salah satu GKE pada versi Bare Metal berikut:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth diaktifkan, pelaku kejahatan dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti sertifikat pembanding SAN.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu error penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan pada awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Tinggi

GCP-2023-015

Dipublikasikan: 20-06-2023
Referensi: CVE-2023-0468

GKE

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Kerentanan apa yang sedang ditangani?

Di CVE-2023-0468, cacat use-after-free ditemukan di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Cacat ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi membuat sistem error yang mengarah ke denial of service.

Sedang

GKE on VMware

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node.

GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan tindakan apa pun
Tidak ada

GKE on AWS

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node.

GKE pada AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan tindakan apa pun
Tidak ada

GKE on Azure

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node.

GKE di Azure tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan tindakan apa pun
Tidak ada

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan tindakan apa pun
Tidak ada

GCP-2023-014

Dipublikasikan: 15-06-2023
Diperbarui: 2023-08-11
Referensi: CVE-2023-2727, CVE-2023-2728

Update 11-08-2023: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan GKE di Bare Metal

GKE

Deskripsi Keseriusan

Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728).

GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi GKE berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container efemeral.
Sedang

GKE on VMware

Diperbarui: 11-08-2023

Deskripsi Keseriusan

Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728). Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster pengguna dan admin Anda ke salah satu GKE di versi VMware berikut:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container efemeral.
Sedang

GKE on AWS

Diperbarui: 11-08-2023

Deskripsi Keseriusan

Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728)
Anthos di AWS tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di AWS berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE di versi AWS berikut:

  • 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container efemeral.
Sedang

GKE on Azure

Diperbarui: 11-08-2023

Deskripsi Keseriusan

Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728)
Anthos di Azure tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di Azure berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE berikut di versi Azure:

  • 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container efemeral.
Sedang

GKE on Bare Metal

Diperbarui: 11-08-2023

Deskripsi Keseriusan

Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan penampung efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728)
Anthos di Bare Metal tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di Bare Metal berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

  • Plugin akses masuk ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan container efemeral.
Sedang

GCP-2023-009

Dipublikasikan: 06-06-2023
Referensi: CVE-2023-2878

GKE

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v.

Tidak ada

GKE on VMware

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di VMware tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE di VMware tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, sebaiknya update penginstalan Anda dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v.

Tidak ada

GKE on AWS

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE pada AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE di AWS tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v.

Tidak ada

GKE on Azure

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di Azure tidak terpengaruh oleh CVE ini

Apa yang harus saya lakukan?

Meskipun GKE di Azure tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v.

Tidak ada

GKE on Bare Metal

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE pada Bare Metal tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, sebaiknya update penginstalan Anda dengan versi yang di-patch

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v.

Tidak ada

GCP-2023-008

Dipublikasikan: 05-06-2023
Referensi: CVE-2023-1872

GKE

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring dari kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap menjadi tidak terdaftar.

Tinggi

GKE on VMware

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring dari kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap menjadi tidak terdaftar.

Tinggi

GKE on AWS

Deskripsi Keseriusan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

  • 1.15.1
  • Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring dari kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap menjadi tidak terdaftar.

    Tinggi

    GKE on Azure

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    Apa yang harus saya lakukan?

    Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini:

  • 1.15.1
  • Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring dari kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap menjadi tidak terdaftar.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GCP-2023-005

    Dipublikasikan: 18-05-2023
    Diperbarui: 2023-06-06
    Referensi: CVE-2023-1281, CVE-2023-1829

    Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829.

    GKE

    Diperbarui: 06-06-2023

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard terpengaruh.

    Cluster dan cluster GKE Autopilot yang menggunakan GKE Sandbox tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Update 06-06-2023: Versi patch Ubuntu tersedia.

    Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol lalu lintas Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak benar menonaktifkan filter dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan ganda pada struktur data.

    Di CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

    Tinggi

    GKE on VMware

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di Linux Kernel traffic control index filter (tcindex) Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak benar menonaktifkan filter dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan ganda pada struktur data.

    Di CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

    Tinggi

    GKE on AWS

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di Linux Kernel traffic control index filter (tcindex) Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak benar menonaktifkan filter dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan ganda pada struktur data.

    Di CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

    Tinggi

    GKE on Azure

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di Linux Kernel traffic control index filter (tcindex) Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak benar menonaktifkan filter dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan ganda pada struktur data.

    Di CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

    GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GCP-2023-003

    Dipublikasikan: 2023-04-11
    Diperbarui: 2023-12-21
    Referensi: CVE-2023-0240, CVE-2023-23586

    Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    GKE

    Diperbarui: 21-12-2023

    Deskripsi Keseriusan

    Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. Cluster GKE, termasuk cluster Autopilot, dengan COS yang menggunakan Kernel Linux versi 5.10 hingga 5.10.162 akan terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Kerentanan 1 (CVE-2023-0240): Kondisi race di io_uring dapat menyebabkan container penuh berpindah ke root pada node. Kernel Linux versi 5.10 terpengaruh hingga 5.10.162.

    Kerentanan 2 (CVE-2023-23586): Penggunaan setelah bebas (UAF) di io_uring/time_ns dapat menyebabkan container penuh yang keluar untuk di-root pada node. Kernel Linux versi 5.10 terpengaruh hingga 5.10.162.

    Tinggi

    GKE on VMware

    Deskripsi Keseriusan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. Cluster GKE pada VMware dengan COS yang menggunakan Kernel Linux versi 5.10 hingga 5.10.162 terpengaruh. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

    • 1.12.6
    • 1.13.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Kerentanan 1 (CVE-2023-0240): Kondisi race di io_uring dapat menyebabkan container penuh yang difokuskan ke root pada node. Kernel Linux versi 5.10 terpengaruh hingga 5.10.162.

    Kerentanan 2 (CVE-2023-23586): Penggunaan setelah bebas (UAF) di io_uring/time_ns dapat menyebabkan container penuh yang keluar ke root pada node. Kernel Linux versi 5.10 terpengaruh hingga 5.10.162.

    Tinggi

    GKE on AWS

    Deskripsi Keseriusan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GKE on Azure

    Deskripsi Keseriusan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. GKE di Azure tidak terpengaruh oleh CVE ini

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keseriusan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GCP-2023-001

    Dipublikasikan: 2023-03-01
    Diperbarui: 2023-12-21
    Referensi: CVE-2022-4696

    Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    GKE

    Deskripsi Keseriusan

    Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi hak istimewa lokal.

    Tinggi

    GKE on VMware

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di VMware yang menjalankan v1.12 dan v1.13 akan terkena dampak. GKE pada VMware yang menjalankan v1.14 atau yang lebih baru tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

    • 1.12.5
    • 1.13.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi hak istimewa lokal.

    Tinggi

    GKE on AWS

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Azure

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di Azure tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GCP-2022-026

    Dipublikasikan: 11-01-2023
    Referensi: CVE-2022-3786, CVE-2022-3602

    GKE

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Meskipun telah mendapat rating Tinggi dalam database NVD, endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga ratingnya diturunkan menjadi Medium untuk GKE.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3786 dan CVE-2022-3602, kelebihan buffer dapat dipicu dalam verifikasi sertifikat X.509 yang dapat menyebabkan error yang akan mengakibatkan denial of service. Agar dapat dieksploitasi, kerentanan ini mengharuskan CA untuk menandatangani sertifikat berbahaya atau agar aplikasi dapat melanjutkan verifikasi sertifikat meskipun gagal membuat jalur ke penerbit tepercaya.

    Sedang

    GKE on VMware

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

    Apa yang harus saya lakukan?

    GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GKE on AWS

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

    Apa yang harus saya lakukan?

    GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GKE on Azure

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

    Apa yang harus saya lakukan?

    GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

    Apa yang harus saya lakukan?

    GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GCP-2022-025

    Dipublikasikan: 2022-12-21
    Diperbarui: 2023-01-19, 2023-12-21
    Referensi: CVE-2022-2602

    Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.

    GKE

    Diperbarui: 19-01-2023

    Deskripsi Keseriusan

    Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

    Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

    Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.


    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual node pool ke salah satu versi GKE berikut:

    • OS yang Dioptimalkan untuk Container:
      • 1.22.16-gke.1300 dan yang lebih baru
      • 1.23.14-gke.401 dan yang lebih baru
      • 1.24.7-gke.900 dan yang lebih baru
      • 1.25.4-gke.1600 dan yang lebih baru
    • Ubuntu:
      • 1.22.15-gke.2500 dan yang lebih baru
      • 1.23.13-gke.900 dan yang lebih baru
      • 1.24.7-gke.900 dan yang lebih baru
      • 1.25.3-gke.800 dan yang lebih baru

    Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah memori soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakan serangan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on VMware

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer.

    GKE pada VMware versi 1.11, 1.12, dan 1.13 terpengaruh.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah memori soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakan serangan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on AWS

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer.

    Apa yang harus saya lakukan?

    Versi GKE di AWS saat ini dan sebelumnya telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut:

    • Pembuatan saat ini:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Generasi sebelumnya:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah memori soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakan serangan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on Azure

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer.

    Apa yang harus saya lakukan?

    Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi Azure berikut:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah memori soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakan serangan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer.

    GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GCP-2022-024

    Dipublikasikan: 2022-11-09
    Diperbarui: 2023-01-19
    Referensi: CVE-2022-2585, CVE-2022-2588

    Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
    Update 16-12-2022: Menambahkan versi patch yang direvisi untuk GKE dan GKE di VMware.

    GKE

    Diperbarui: 19-01-2023

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

    Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

    Update 16-12-2022: Buletin versi sebelumnya telah direvisi karena regresi rilis. Harap upgrade secara manual node pool Anda ke salah satu versi GKE berikut:

    • 1.22.16-gke.1300 dan yang lebih baru
    • 1.23.14-gke.401 dan yang lebih baru
    • 1.24.7-gke.900 dan yang lebih baru
    • 1.25.4-gke.1600 dan yang lebih baru

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia.

    Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    • Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free bergantung pada bagaimana timer dibuat dan dihapus.
    • Dengan CVE-2022-2588, cacat use-after-free ditemukan di route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal menyebabkan error pada sistem dan mungkin menyebabkan eskalasi hak istimewa lokal.
    Tinggi

    GKE on VMware

    Diperbarui: 16-12-2022

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node.

    GKE pada VMware versi 1.13, 1.12, dan 1.11 terpengaruh.

    Apa yang harus saya lakukan?

    Update 16-12-2022: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Catatan: Versi GKE di VMware yang berisi patch Container-Optimized OS akan segera dirilis. Buletin keamanan ini akan diupdate saat versi GKE di VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    • Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free bergantung pada bagaimana timer dibuat dan dihapus.
    • Dengan CVE-2022-2588, cacat use-after-free ditemukan di route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal menyebabkan error pada sistem dan mungkin menyebabkan eskalasi hak istimewa lokal.
    Tinggi

    GKE on AWS

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node.

    Versi Kubernetes di AWS berikut mungkin terpengaruh:

    • 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh
    • 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak akan terpengaruh

    Kubernetes V1.24 tidak terpengaruh.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:

    • 1.23: versi yang lebih baru dari v1.23.9-gke.800
    • 1.22: versi yang lebih baru dari 1.22.12-gke-1100

    Kerentanan apa yang sedang ditangani?

    Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free bergantung pada bagaimana timer dibuat dan dihapus.

    Dengan CVE-2022-2588, cacat use-after-free ditemukan di route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal menyebabkan error pada sistem dan mungkin menyebabkan eskalasi hak istimewa lokal.

    Tinggi

    GKE on Azure

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node.

    Versi Kubernetes di Azure berikut ini mungkin terpengaruh:

    • 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh.
    • 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak akan terpengaruh.

    Kubernetes V1.24 tidak terpengaruh.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:

    • 1.23: versi yang lebih baru dari v1.23.9-gke.800
    • 1.22: versi yang lebih baru dari 1.22.12-gke-1100

    Kerentanan apa yang sedang ditangani?

    Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free bergantung pada bagaimana timer dibuat dan dihapus.

    Dengan CVE-2022-2588, cacat use-after-free ditemukan di route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal menyebabkan error pada sistem dan mungkin menyebabkan eskalasi hak istimewa lokal.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keseriusan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node.

    GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan apa pun.

    Tidak ada

    GCP-2022-023

    Dipublikasikan: 04-11-2022
    Referensi: CVE-2022-39278

    GKE

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol.

    Apa yang harus saya lakukan?

    Google Kubernetes Engine (GKE) tidak kompatibel dengan Istio dan tidak terpengaruh oleh kerentanan ini. Namun, jika Anda telah menginstal Anthos Service Mesh atau Istio secara terpisah di cluster GKE, lihat GCP-2022-020, buletin keamanan Anthos Service Mesh di CVE ini, untuk mengetahui informasi selengkapnya.

    Tidak ada

    GKE on VMware

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh di GKE pada VMware, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio.

    Apa yang harus saya lakukan?

    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, rentan terhadap error pemrosesan permintaan, sehingga penyerang berbahaya dapat mengirim pesan yang dibuat khusus sehingga terjadi error pada bidang kontrol saat webhook yang memvalidasi untuk cluster terekspos secara publik. Endpoint ini disalurkan melalui TLS port 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

    Tinggi

    GKE on AWS

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol.

    Apa yang harus saya lakukan?

    GKE di AWS tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Azure

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol.

    Apa yang harus saya lakukan?

    GKE di Azure tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio.

    Apa yang harus saya lakukan?

    Versi GKE berikut di Bare Metal telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster ke salah satu GKE pada versi Bare Metal berikut:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, rentan terhadap error pemrosesan permintaan, sehingga penyerang berbahaya dapat mengirim pesan yang dibuat khusus sehingga terjadi error pada bidang kontrol saat webhook yang memvalidasi untuk cluster terekspos secara publik. Endpoint ini disalurkan melalui TLS port 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

    Tinggi

    GCP-2022-022-updated

    Dipublikasikan: 08-12-2022
    Referensi: CVE-2022-20409

    GKE

    Diperbarui: 14-12-2022

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Cluster Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 93 dan 97 juga terkena dampak. Versi GKE lain yang didukung tidak akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Update 14-12-2022: Versi buletin versi sebelumnya telah direvisi karena regresi rilis. Harap upgrade secara manual node pool Anda ke salah satu versi GKE berikut:

    • 1.22.15-gke.2500 dan yang lebih baru
    • 1.23.13-gke.900 dan yang lebih baru
    • 1.24.7-gke.900 dan yang lebih baru

    Versi GKE berikut yang menggunakan Container-Optimized OS versi 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node secara manual ke salah satu versi GKE berikut:

    • 1.22.15-gke.2300 dan yang lebih baru
    • 1.23.13-gke.700 dan yang lebih baru
    • 1.24.7-gke.700 dan yang lebih baru

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tinggi

    GKE on VMware

    Diperbarui: 14-12-2022

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal.

    Apa yang harus saya lakukan?

    Update 14-12-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:

    • 1.13.1 dan yang lebih baru
    • 1.12.3 dan yang lebih baru
    • 1.11.4 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tinggi

    GKE on AWS

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tidak ada

    GKE on Azure

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal.

    Apa yang harus saya lakukan?

    • Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.
    Tidak ada

    GCP-2022-021

    Dipublikasikan: 2022-10-27
    Diperbarui: 2023-01-19, 2023-12-21
    Referensi: CVE-2022-3176

    Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
    Update 15-12-2022: Informasi terbaru bahwa Google Kubernetes Engine versi 1.21.14-gke.9400 menunggu peluncuran dan mungkin digantikan oleh nomor versi yang lebih tinggi.
    Update 21-11-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 19-01-2023, 21-12-2023

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

    Cluster Google Kubernetes Engine (GKE) v1.21, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 89 akan terkena dampak. Versi GKE yang lebih baru tidak akan terpengaruh. Semua cluster Linux dengan Ubuntu akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

    Update 15-12-2022: Versi 1.21.14-gke.9400 menunggu peluncuran dan mungkin digantikan oleh nomor versi yang lebih tinggi. Kami akan memperbarui dokumen ini saat versi baru tersebut tersedia.


    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual node pool ke salah satu versi GKE berikut:

    • OS yang Dioptimalkan untuk Container:
      • 1.21.14-gke.7100 dan yang lebih baru
    • Ubuntu:
      • 1.21.14-gke.9400 dan yang lebih baru
      • 1.22.15-gke.2400 dan yang lebih baru
      • 1.23.13-gke.800 dan yang lebih baru
      • 1.24.7-gke.800 dan yang lebih baru
      • 1.25.3-gke.700 dan yang lebih baru

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Tidak adanya penanganan POLLFREE dapat menyebabkan eksploit Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa.

    Tinggi

    GKE on VMware

    Diperbarui: 21-11-2022

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Apa yang harus saya lakukan?

    • Versi GKE di VMware dengan Container-Optimized OS tidak terpengaruh.

    Update 21-11-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:

    • 1.12.3 dan yang lebih baru
    • 1.13.1 dan yang lebih baru
    • 1.11.5 dan yang lebih baru

    Versi GKE di VMware yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Tidak adanya penanganan POLLFREE dapat menyebabkan eksploit Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa.

    Tinggi

    GKE on AWS

    Diperbarui: 21-11-2022

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Apa yang harus saya lakukan?

    Update 21-11-2022: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut:

    Generasi saat ini
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Generasi sebelumnya
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Versi GKE di AWS yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di versi AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Tidak adanya penanganan POLLFREE dapat menyebabkan eksploit Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa.

    Tinggi

    GKE on Azure

    Diperbarui: 21-11-2022

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Apa yang harus saya lakukan?

    Update 21-11-2022: Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi Azure berikut:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Versi GKE di Azure yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui setelah versi GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Tidak adanya penanganan POLLFREE dapat menyebabkan eksploit Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keseriusan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan apa pun. GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-018

    Dipublikasikan: 2022-08-01
    Diperbarui: 2022-09-14, 2023-12-21
    Referensi: CVE-2022-2327

    Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    Update 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 21-12-2023

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Detail teknis

    Update 21-12-2023: Buletin asli yang menyatakan bahwa cluster Autopilot terpengaruh, tetapi ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

    Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS (COS) yang menggunakan Kernel Linux versi 5.10 akan terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Upgrade cluster GKE Anda ke versi yang menyertakan perbaikan. Image node Linux untuk COS telah diperbarui beserta versi GKE yang menggunakan versi COS tersebut.

    Untuk tujuan keamanan, meskipun Anda mengaktifkan upgrade node otomatis, sebaiknya upgrade node secara manual ke salah satu versi GKE berikut:

    Versi COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari sebuah channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, kernel Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (tanda). Menggunakan permintaan ini tanpa jenis item tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root.
    Tinggi

    GKE on VMware

    Diperbarui: 14-09-2022

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Cluster dengan image Container Optimized OS (COS) yang menggunakan GKE pada VMware versi 1.10, 1.11, dan 1.12 terpengaruh.

    Apa yang harus saya lakukan?

    Update 14-09-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

    • 1.10.6 atau yang lebih baru
    • 1.11.3 atau yang lebih baru
    • 1.12.1 atau yang lebih baru

    Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diupdate saat versi GKE di VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, kernel Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (tanda). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root.

    Tinggi

    GKE on AWS

    Diperbarui: 14-09-2022

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Apa yang harus saya lakukan?

    Update 14-09-2022: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut:

    Pembuatan saat ini

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Generasi sebelumnya

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, kernel Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (tanda). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root.

    Tinggi

    GKE on Azure

    Diperbarui: 14-09-2022

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Apa yang harus saya lakukan?

    Update 14-09-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi Azure berikut:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui setelah versi GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, kernel Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (tanda). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-017

    Dipublikasikan: 29-06-2022
    Diperbarui: 2022-11-22
    Referensi: CVE-2022-1786
    Pembaruan 2022-11-22: Informasi terbaru tentang beban kerja menggunakan GKE Sandbox.
    Update 21-07-2022: Informasi terbaru yang terpengaruh oleh image GKE pada VMware COS.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keseriusan

    Update 22-11-2022: Beban kerja yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut. Hanya cluster yang menjalankan Container-Optimized OS yang terpengaruh. GKE Ubuntu versi menggunakan kernel versi 5.4 atau 5.15 dan tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk Container-Optimized OS bagi versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade kumpulan node secara manual ke salah satu versi GKE mendatang berikut:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Fitur saluran rilis terbaru memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Pada CVE-2022-1786, cacat use-after-free ditemukan di subsistem io_uring kernel Linux. Jika pengguna menyiapkan lingkaran dengan IORING_SETUP_IOPOLL yang berisi lebih dari satu tugas untuk menyelesaikan pengiriman pada lingkaran tersebut, pengguna lokal dapat mengalami error atau mengeskalasikan hak istimewanya di sistem.

    Tinggi

    GKE on VMware

    Diperbarui: 14-07-2022

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut.

    Apa yang harus saya lakukan?

    Update 21-07-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

    COS
    • 1.10.5 atau yang lebih baru
    • 1.11.2 atau yang lebih baru
    • 1.12.0 atau yang lebih baru

    Ubuntu

    Anda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    GKE on AWS

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    GKE on Azure

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keseriusan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-016

    Dipublikasikan: 23-06-2022
    Diperbarui: 2022-11-22
    Referensi: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    2022-11-22 update workload di Autopilot:
    Pembaruan 29-07-2022: Versi terbaru untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keseriusan

    Update 2022-11-22: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116.


    Update 29-07-2022: Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini.


    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Semua cluster Linux (Container-Optimized OS dan Ubuntu) akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk Container-Optimized OS dan Ubuntu untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux di versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam batas waktu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasikan hak istimewa ke root.

    Tinggi

    GKE on VMware

    Diperbarui: 29-07-2022

    Deskripsi Keseriusan

    Update 29-07-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

    • 1.9.7 atau yang lebih baru
    • 1.10.5 atau yang lebih baru
    • 1.11.2 atau yang lebih baru
    • 1.12.0 atau yang lebih baru


    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Kerentanan ini memengaruhi GKE pada VMware v1.9 dan yang lebih baru untuk image Container-Optimized OS dan Ubuntu.

    Apa yang harus saya lakukan?

    Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diupdate saat versi GKE di VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux di versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam batas waktu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasikan hak istimewa ke root.

    Tinggi

    GKE on AWS

    Diperbarui: 29-07-2022

    Deskripsi Keseriusan

    Update 29-07-2022: Update: GKE di AWS versi saat ini dan sebelumnya telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut:

    Pembuatan saat ini:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Generasi sebelumnya:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Kerentanan ini memengaruhi semua versi GKE di AWS.

    Apa yang harus saya lakukan?

    Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui ketika versi GKE di AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux di versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam batas waktu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasikan hak istimewa ke root.

    Tinggi

    GKE on Azure

    Deskripsi Keseriusan

    Update 29-07-2022: Update: Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut pada versi Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Kerentanan ini memengaruhi semua versi GKE di Azure.

    Apa yang harus saya lakukan?

    Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui ketika versi GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux di versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam batas waktu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasikan hak istimewa ke root.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keseriusan

    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-014

    Dipublikasikan: 26-04-2022
    Diperbarui: 22-11-2022
    Update 22-11-2022: Menambahkan informasi tentang beban kerja yang berjalan di cluster Autopilot.
    Update 12-05-2022: Update versi patch untuk GKE di AWS dan GKE di Azure.
    Referensi: CVE-2022-1055, CVE-2022-27666

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keseriusan

    Update 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE mendatang berikut:

    • 1.19.16-gke.11000 dan yang lebih baru
    • 1.20.15-gke.5200 dan yang lebih baru
    • 1.21.11-gke.1100 dan yang lebih baru
    • 1.22.8-gke.200 dan yang lebih baru
    • 1.23.5-gke.1500 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on VMware

    Deskripsi Keseriusan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. GKE pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:

    • 1.9.6 (mendatang)
    • 1.10.3
    • 1.11.0 (akan datang)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on AWS

    Diperbarui: 12-05-2022

    Deskripsi Keseriusan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Update 12-05-2022: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut:

    Generasi saat ini
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generasi sebelumnya
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui setelah tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on Azure

    Diperbarui: 12-05-2022

    Deskripsi Keseriusan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Update 12-05-2022: Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi Azure berikut:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui setelah tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keseriusan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Di CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node.

    Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan diupdate ke versi yang berisi perbaikan untuk CVE-2022-1055 dan CVE-2022-27666.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GCP-2022-013

    Dipublikasikan: 2022-04-11
    Diperbarui: 2022-04-20
    Referensi: CVE-2022-23648
    Pembaruan 22-04-2022: Versi patch terbaru untuk Google Distributed Cloud Virtual for Bare Metal dan GKE di VMware.

    GKE

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu) yang menggunakan container secara default. Semua node GKE, Autopilot, dan GKE Sandbox akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node secara manual ke salah satu versi GKE berikut:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

    Sedang

    GKE on VMware

    Diperbarui: 22-04-2022

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua GKE di VMware yang mengaktifkan stackdriver dan menggunakan container. GKE pada VMware versi 1.8, 1.9, dan 1.10 terpengaruh

    Apa yang harus saya lakukan?

    Update 22-04-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

    • 1.9.5 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:

    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru

    CVE ini dapat dimitigasi dengan menyetel IgnoreImageDefinedVolumes ke true.

    Sedang

    GKE on AWS

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE pada versi AWS akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS.

    GKE di AWS (generasi saat ini)
    • Versi 1.22: 1.22.8-gke.200
    • Versi 1.21: 1.21.11-gke.100
    GKE di AWS (generasi sebelumnya)
    • Versi 1.22: 1.22.8-gke.300
    • Versi 1.21: 1.21.11-gke.100
    • Versi 1.20: 1.20.15-gke.2200

    CVE ini dapat dimitigasi dengan menyetel IgnoreImageDefinedVolumes ke true.

    Sedang

    GKE on Azure

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE pada versi Azure terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda sebagai berikut:

    • Versi 1.22: 1.22.8-gke.200
    • Versi 1.21: 1.21.11-gke.100

    CVE ini dapat dimitigasi dengan menyetel IgnoreImageDefinedVolumes ke true.

    Sedang

    Google Distributed Cloud Virtual untuk Bare Metal

    Diperbarui: 22-04-2022

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua Google Distributed Cloud Virtual untuk Bare Metal yang menggunakan container. Google Distributed Cloud Virtual for Bare Metal versi 1.8, 1.9, dan 1.10 terpengaruh

    Apa yang harus saya lakukan?

    Update 22-04-2022: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut berisi kode yang memperbaiki kerentanan ini.

    • 1.8.9 atau yang lebih baru
    • 1.9.6 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:

    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru

    CVE ini dapat dimitigasi dengan menyetel IgnoreImageDefinedVolumes ke true.

    Sedang

    GCP-2022-012

    Dipublikasikan: 2022-04-07
    Diperbarui: 2022-11-22
    Referensi: CVE-2022-0847
    2022-11-22 Update: Informasi terbaru tentang workload menggunakan GKE Sandbox.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keseriusan

    Update 22-11-2022: Beban kerja yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa container ke root. Kerentanan ini memengaruhi semua kumpulan node GKE versi v1.22 dan yang lebih baru yang menggunakan image Container-Optimized OS (Container-Optimized OS 93 dan yang lebih baru). Kumpulan node GKE yang menggunakan OS Ubuntu tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • 1.22.7-gke.1500 dan yang lebih baru
    • 1.23.4-gke.1600 dan yang lebih baru

    Fitur terbaru channel rilis memungkinkan Anda menerapkan versi patch dari channel rilis lain tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan tanda PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam versi 5.8 kernel Linux. Dalam kerentanan ini, anggota "flags" pada struktur buffer pipe baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan cacat ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan mengeskalasikan hak istimewa mereka.

    Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam GKE versi kumpulan node yang diupdate.

    Tinggi

    GKE on VMware

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa ke root. Kerentanan ini memengaruhi GKE pada VMware v1.10 untuk image OS yang Dioptimalkan untuk Container. Saat ini, GKE di VMware dengan Ubuntu menggunakan kernel versi 5.4 dan tidak rentan terhadap serangan ini.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke GKE pada versi VMware berikut:

    • 1.10.3

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan tanda PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam versi 5.8 kernel Linux. Dalam kerentanan ini, anggota "flags" pada struktur buffer pipe baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan cacat ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan mengeskalasikan hak istimewa mereka.

    Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi GKE yang diupdate di VMware.

    Tinggi

    GKE on AWS

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa ke root.

    Kerentanan ini memengaruhi cluster terkelola dari GKE pada AWS v1.21 dan cluster yang berjalan di GKE pada AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini.

    Untuk GKE terkelola di AWS, sebaiknya Anda mengupgrade cluster pengguna dan nodepool ke salah satu versi berikut:

    • 1.21.11-gke.100

    Untuk GKE k-lite di AWS, sebaiknya upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool Anda ke versi berikut:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan tanda PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam versi 5.8 kernel Linux. Dalam kerentanan ini, anggota "flags" pada struktur buffer pipe baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan cacat ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan mengeskalasikan hak istimewa mereka.

    Tinggi

    GKE on Azure

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa ke root. Kerentanan ini memengaruhi cluster GKE terkelola di Azure v1.21 yang menggunakan Ubuntu.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster pengguna dan node pool ke versi berikut:

    • 1.21.11-gke.100

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan tanda PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam versi 5.8 kernel Linux. Dalam kerentanan ini, anggota "flags" pada struktur buffer pipe baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan cacat ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan mengeskalasikan hak istimewa mereka.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa ke root.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-0847.

    Tinggi

    GCP-2022-011

    Dipublikasikan: 22-03-2022
    Diperbarui: 2022-08-11

    Update 11-08-2022: Menambahkan detail selengkapnya tentang dampak kesalahan konfigurasi SMT.

    GKE

    Deskripsi Keseriusan

    Update 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Multi-Threading (SMT) Simultan. SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum.

    Jika Anda mengaktifkan SMT secara manual untuk kumpulan node yang di-sandbox, SMT akan tetap diaktifkan secara manual meskipun terjadi masalah ini.


    Terdapat kesalahan konfigurasi dengan Simultaneous Multi-Threading (SMT), juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Kesalahan konfigurasi ini membuat node berpotensi terkena serangan saluran samping seperti Sampling Data Mikroarsitektur (MDS) (untuk konteks lebih lanjut, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Jika Anda mengaktifkan SMT untuk kumpulan node secara manual, masalah ini tidak memengaruhi node yang di-sandbox.

    Apa yang harus saya lakukan?

    Upgrade node Anda ke salah satu versi berikut:

    • 1.22.6-gke.1500 dan yang lebih baru
    • 1.23.3-gke.1100 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Node Sandbox GKE menonaktifkan SMT secara default, yang memitigasi serangan side-channel.

    Sedang

    GCP-2022-009

    Dipublikasikan: 01-03-2022
    Diperbarui: 2022-03-15

    GKE

    Deskripsi Keseriusan

    Update 15-03-2022: Penambahan panduan hardening untuk GKE di AWS dan GKE di Azure. Menambahkan bagian tentang persistensi menggunakan webhook.


    Beberapa jalur yang tidak terduga untuk mengakses VM node di cluster GKE Autopilot dapat digunakan untuk mengeskalasikan hak istimewa di cluster. Masalah ini telah diperbaiki dan tidak ada tindakan lebih lanjut yang perlu dilakukan. Perbaikan ini mengatasi masalah yang dilaporkan melalui Program Reward Kerentanan kami.

    Pengguna cluster GKE Standard dan GKE secara opsional dapat menerapkan kebijakan hardening serupa seperti yang dijelaskan di bawah.

    Detail teknis

    Akses host menggunakan pengecualian kebijakan pihak ketiga

    Agar Google Cloud dapat menawarkan pengelolaan node penuh, dan SLA tingkat Pod, GKE Autopilot membatasi beberapa primitif Kubernetes dengan hak istimewa tinggi untuk membatasi beban kerja agar tidak memiliki akses level rendah ke VM node. Untuk menyetelnya dalam konteksnya: GKE Standard menyajikan akses penuh ke komputasi yang mendasarinya, Autopilot memberikan akses terbatas, dan Cloud Run tidak memberikan akses.

    Autopilot melonggarkan beberapa batasan tersebut untuk daftar alat pihak ketiga yang telah ditetapkan agar pelanggan dapat menjalankan alat tersebut dengan Autopilot tanpa modifikasi. Dengan menggunakan hak istimewa untuk membuat pod dengan pemasangan jalur host, peneliti dapat menjalankan container dengan hak istimewa di pod yang terlihat seperti salah satu alat pihak ketiga yang diizinkan ini untuk mendapatkan akses ke host.

    Kemampuan untuk menjadwalkan pod dengan cara ini diharapkan pada GKE Standard, tetapi tidak pada GKE Autopilot, karena alat ini mengabaikan pembatasan akses host yang digunakan untuk mengaktifkan SLA yang dijelaskan sebelumnya.

    Masalah ini telah diperbaiki dengan memperketat spesifikasi pod yang diizinkan oleh pihak ketiga.

    Eskalasi hak istimewa dari root-on-node

    Selain akses host, pod stackdriver-metadata-agent-cluster-level dan metrics-server diidentifikasi dengan hak istimewa tinggi. Setelah mendapatkan akses level root ke node, layanan ini dapat digunakan untuk memperoleh kontrol lebih lanjut atas cluster.

    Kami telah menghentikan penggunaan dan menghapus stackdriver-metadata-agent untuk GKE Standard dan Autopilot. Komponen ini masih digunakan di GKE di VMware dan Google Distributed Cloud Virtual for Bare Metal.

    Sebagai tindakan hardening sistem untuk mencegah jenis serangan ini pada masa mendatang, kami akan menerapkan batasan Autopilot dalam rilis mendatang yang mencegah update pada akun layanan berbagai objek di namespace kube-system. Kami telah mengembangkan kebijakan Gatekeeper agar Anda dapat menerapkan perlindungan serupa dengan cluster GKE Standard dan cluster GKE untuk mencegah modifikasi mandiri workload dengan hak istimewa. Kebijakan ini diterapkan secara otomatis untuk cluster Autopilot. Untuk mengetahui petunjuknya, lihat panduan hardening berikut:


    Penambahan 15-03-2022: Persistensi menggunakan webhook yang berubah

    Webhook yang berubah digunakan dalam laporan untuk mendapatkan posisi istimewa di cluster pasca-kompromi. Ini adalah bagian standar dari Kubernetes API yang dibuat oleh admin cluster, dan dapat dilihat oleh administrator saat Autopilot menambahkan dukungan untuk webhook yang ditentukan pelanggan.


    Akun layanan dengan hak istimewa di namespace default

    Penegak kebijakan autopilot sebelumnya mengizinkan dua akun layanan di namespace default: csi-attacher dan otelsvc untuk memberikan hak istimewa khusus ke akun layanan tersebut. Penyerang dengan hak istimewa tinggi, termasuk izin untuk membuat objek ClusterRoleBinding dan dengan akses untuk membuat pod di namespace default, dapat menggunakan nama akun layanan ini untuk mengakses hak istimewa tambahan tersebut. Layanan ini dipindahkan ke namespace kube-system untuk mendapatkan perlindungan kebijakan Autopilot yang sudah ada. Cluster GKE Standard dan cluster GKE tidak terpengaruh.

    Apa yang harus saya lakukan?

    Kebijakan semua cluster GKE Autopilot telah diperbarui untuk menghapus akses host yang tidak diinginkan dan tidak perlu melakukan tindakan lebih lanjut.

    Pengerasan kebijakan lebih lanjut akan diterapkan pada Autopilot dalam beberapa minggu mendatang sebagai perlindungan sekunder. Anda tidak perlu melakukan tindakan apa pun.

    Cluster GKE Standard dan cluster GKE tidak terpengaruh karena pengguna sudah memiliki akses ke host. Sebagai tindakan hardening sistem, pengguna cluster GKE Standard dan cluster GKE dapat menerapkan perlindungan serupa dengan kebijakan Gatekeeper yang mencegah modifikasi mandiri workload dengan hak istimewa. Untuk mengetahui petunjuknya, lihat panduan hardening berikut:

    Rendah

    GCP-2022-008

    Dipublikasikan: 2022-02-23
    Diperbarui: 2022-04-28
    Referensi: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656

    GKE

    Deskripsi Keseriusan
    Project Envoy baru-baru ini menemukan sekumpulan kerentanan, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-4382412, dan CVE65, {i>CVE-2022-21655, CVE-2021-43825, CVE-2021-438242021-43824, {1021-43824, dan 2021-43824 khusus.CVE-2022-21654CVE-2022-21657CVE-2022-21656
    Semua masalah yang tercantum di bawah ini telah diperbaiki dalam rilis Envoy 1.21.1.
    Latar Belakang Teknis
    Detail tambahan untuk kerentanan ini tersedia di sini.

    Apa yang harus saya lakukan?

    Cluster GKE yang menjalankan Anthos Service Mesh harus diupgrade ke versi yang didukung dengan perbaikan terhadap kerentanan di atas
    • Jika Anda menggunakan Anthos Service Mesh 1.12, upgrade ke v1.12.4-asm.0.
    • Jika Anda menggunakan Anthos Service Mesh 1.11, upgrade ke v1.11.7-asm.1.
    • Jika Anda menggunakan Anthos Service Mesh 1.10, upgrade ke v1.10.6-asm.1.
    Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis telah mencapai akhir siklus proses dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.10 atau yang lebih baru.

    Cluster GKE yang menjalankan Istio-on-GKE harus diupgrade ke versi yang didukung dengan perbaikan terhadap kerentanan di atas
    • Jika Anda menggunakan Istio-on-GKE 1.6, upgrade ke v1.6.14-gke.8.
    • Jika Anda menggunakan Istio-on-GKE 1.4.11, upgrade ke v1.4.11-gke.4.
    • Jika Anda menggunakan Istio-on-GKE 1.4.10, upgrade ke v1.4.10-gke.23.
    • Jika Anda menggunakan GKE 1.22 atau yang lebih baru, harap gunakan Istio GKE 1.4.10. Jika tidak, gunakan Istio-on-GKE 1.4.11.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656
    Tinggi

    GKE on VMware

    Diperbarui: 28-04-2022

    Deskripsi Keseriusan
    Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. GKE di VMware terpengaruh karena Envoy digunakan dengan server metrik. CVE Envoy yang sedang kami perbaiki tercantum di bawah. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia:
    • CVE-2021-43824 (skor CVSS 6,5, Sedang): Potensi dereferensi pointer null saat menggunakan pencocokan safe_regex filter JWT.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terkena dampak jika menggunakan ekspresi reguler filter JWT.
    • CVE-2021-43825 (skor CVSS 6.1, Medium): Gunakan setelah bebas saat filter respons meningkatkan data respons, dan peningkatan data melebihi batas buffer downstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terkena dampak jika menggunakan filter dekompresi.
    • CVE-2021-43826 (skor CVSS 6.1, Medium): Gunakan setelah bebas saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembentukan koneksi upstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terkena dampak jika menggunakan filter tunneling.
    • CVE-2022-21654 (skor CVSS 7,3, Tinggi): Penanganan konfigurasi yang salah memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah setelan validasi diubah.
      Catatan: Semua layanan ASM/Istio-on-GKE yang menggunakan mTLS terpengaruh oleh CVE ini.
    • CVE-2022-21655 (Skor CVSS 7,5, Tinggi): Kesalahan penanganan pengalihan internal ke rute dengan entri respons langsung.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terkena dampak jika menggunakan filter respons langsung.
    • CVE-2022-23606 (skor CVSS 4,4, Medium): Kehabisan stack saat sebuah cluster dihapus melalui Cluster Discovery Service.
      Catatan: ASM 1.11+ terpengaruh oleh CVE ini. ASM 1.10 dan Semua Istio-on-GKE tidak terpengaruh oleh CVE ini.
    • CVE-2022-21657 (Skor CVSS 3.1, Rendah): Envoy hingga versi 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena pengabaian Penggunaan Kunci yang Diperluas dan Tujuan Kepercayaan X.509.
    • CVE-2022-21656 (Skor CVSS 3.1, Rendah): Envoy hingga versi 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena pengabaian pencocokan subjekAltName (dan nameConstraints) X.509.

    Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos di VMware terpengaruh karena Istio digunakan untuk ingress. CVE Istio yang kami perbaiki tercantum di bawah. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia:

    CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod mengalami error saat menerima permintaan dengan header `authorization` yang dibuat khusus.


    Untuk mengetahui deskripsi lengkap dan dampak CVE di atas, lihat buletin keamanan.

    28-04-2022 Penambahan: Apa yang harus saya lakukan?

    Versi GKE di VMware berikut ini memperbaiki kerentanan ini:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656
    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keseriusan
    Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. Anthos on Bare metal terpengaruh karena Envoy digunakan untuk server metrik. Envoy CVEs yang kami perbaiki dalam rilis 1.10.3, 1.9.6, dan 1.8.9 tercantum di bawah:
    • CVE-2021-43824 (skor CVSS 6,5, Sedang): Potensi dereferensi pointer null saat menggunakan pencocokan safe_regex filter JWT.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terkena dampak jika menggunakan ekspresi reguler filter JWT.
    • CVE-2021-43825 (skor CVSS 6.1, Medium): Gunakan setelah bebas saat filter respons meningkatkan data respons, dan peningkatan data melebihi batas buffer downstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terkena dampak jika menggunakan filter dekompresi.
    • CVE-2021-43826 (skor CVSS 6.1, Medium): Gunakan setelah bebas saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembentukan koneksi upstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terkena dampak jika menggunakan filter tunneling.
    • CVE-2022-21654 (skor CVSS 7,3, Tinggi): Penanganan konfigurasi yang salah memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah setelan validasi diubah.
      Catatan: Semua layanan ASM/Istio-on-GKE yang menggunakan mTLS terpengaruh oleh CVE ini.
    • CVE-2022-21655 (Skor CVSS 7,5, Tinggi): Kesalahan penanganan pengalihan internal ke rute dengan entri respons langsung.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terkena dampak jika menggunakan filter respons langsung.
    • CVE-2022-23606 (skor CVSS 4,4, Medium): Kehabisan stack saat sebuah cluster dihapus melalui Cluster Discovery Service.
      Catatan: ASM 1.11+ terpengaruh oleh CVE ini. ASM 1.10 dan Semua Istio-on-GKE tidak terpengaruh oleh CVE ini.
    • CVE-2022-21657 (Skor CVSS 3.1, Rendah): Envoy hingga versi 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena pengabaian Penggunaan Kunci yang Diperluas dan Tujuan Kepercayaan X.509.
    • CVE-2022-21656 (Skor CVSS 3.1, Rendah): Envoy hingga versi 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena pengabaian pencocokan subjekAltName (dan nameConstraints) X.509.
    Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos di Bare metal terpengaruh karena Istio digunakan untuk ingress. Istio CVE yang kami perbaiki dalam rilis 1.10.3, 1.9.6, dan 1.8.9 tercantum di bawah:

    • CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod mengalami error saat menerima permintaan dengan header `Authorization` yang dibuat khusus.
      Catatan: Semua ASM/Istio-on-GKE terpengaruh oleh CVE ini.

    Untuk deskripsi lengkap dan dampak CVE di atas, lihat buletin keamanan.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656
    Tinggi

    GCP-2022-006

    Dipublikasikan: 2022-02-14
    Diperbarui: 2022-05-16
    Update 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini.
    Update 12-05-2022: Update versi patch untuk GKE, Google Distributed Cloud Virtual for Bare Metal, GKE on VMware, dan GKE on AWS. Memperbaiki masalah saat buletin keamanan untuk GKE di AWS tidak ditampilkan saat ditambahkan pada 23-02-2022.

    GKE

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk adanya serangan container.

    Apa yang harus saya lakukan?

    Update 16-05-2022: Selain versi GKE yang disebutkan dalam update 12-05-2022, GKE versi 1.19.16-gke.7800 atau yang lebih baru juga berisi kode yang memperbaiki kerentanan ini.


    Update 12-05-2022: Versi GKE berikut berisi kode yang memperbaiki kerentanan ini:

    • 1.20.15-gke.5600 atau yang lebih baru
    • 1.21.11-gke.1500 atau yang lebih baru
    • 1.22.8-gke.1800 atau yang lebih baru
    • 1.23.5-gke.1800 atau yang lebih baru

    Update 15-02-2022: Pernyataan gVisor yang dikoreksi.

    Kerentanan ini ditemukan di cgroup_release_agent_write kernel Linux dalam fungsi kernel/cgroup/cgroup-v1.c dan dapat digunakan sebagai pemecahan container. GKE tidak terpengaruh karena adanya perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, sebagian pelanggan mungkin masih rentan jika telah melonggarkan batasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau container, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Selain profil AppArmor default, fitur-fitur berikut juga melindungi dari kerentanan:

    • GKE Autopilot tidak terpengaruh karena profil seccomp default.
    • Update 15-02-2022: gVisor (GKE Sandbox) tidak terpengaruh karena gVisor tidak mengizinkan akses ke panggilan sistem yang rentan pada host.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk adanya serangan container.

    Apa yang harus saya lakukan?

    Update 12-05-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

    COS
    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru
    • 1.11.0 atau yang lebih baru
    Ubuntu
    • 1.9.6 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Kerentanan ini ditemukan dalam cgroup_release_agent_write kernel Linux dalam fungsi kernel/cgroup/cgroup-v1.c dan dapat digunakan sebagai pemecahan container. GKE di VMware tidak terpengaruh karena adanya perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, sebagian pelanggan mungkin masih rentan jika telah melonggarkan pembatasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau container, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GKE on AWS

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk adanya serangan container.

    Apa yang harus saya lakukan?

    Update 12-05-2022: Versi GKE generasi saat ini dan sebelumnya di AWS berikut berisi kode yang memperbaiki kerentanan ini:

    Generasi saat ini
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generasi sebelumnya
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Update 23-02-2022: Catatan ditambahkan untuk GKE di AWS.

    GKE pada AWS generasi sebelumnya dan saat ini tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika telah melonggarkan batasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau container, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GKE Enterprise aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk adanya serangan container.

    Apa yang harus saya lakukan?

    Update 12-05-2022: Versi GKE di Azure berikut berisi kode yang memperbaiki kerentanan ini:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE di Azure tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika telah melonggarkan batasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau container, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GCP-2022-005

    Dipublikasikan: 2022-02-11
    Diperbarui: 2022-02-15
    Referensi: CVE-2021-43527

    GKE

    Deskripsi Keseriusan
    Update 15-02-2022: Beberapa versi GKE yang disebutkan dalam buletin asli digabungkan dengan perbaikan lain dan nomor versinya bertambah sebelum dirilis. Patch tersedia dalam versi GKE berikut:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang terhubung ke versi rentan libnss3 yang ditemukan di versi NSS (Layanan Keamanan Jaringan) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Baik image GKE COS maupun Ubuntu memiliki versi yang rentan, dan perlu di-patch.

    Kemungkinan besar, CVE-2021-43527 dapat berdampak luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, fungsionalitas X.509, OCSP, atau CRL dapat terpengaruh. Dampaknya bergantung pada cara NSS digunakan/dikonfigurasi.

    GKE tidak menggunakan libnss3 untuk API yang dapat diakses Internet. Dampaknya terbatas pada kode on-host yang berjalan di luar container, yang berukuran kecil karena desain Chrome OS yang minimal. Kode GKE yang berjalan di dalam container yang menggunakan image dasar distroless golang tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut:

    • Versi 1.18 akan ditentukan
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Apakah Anda menggunakan GKE versi yang lebih lama dari 1.18? Anda menggunakan versi GKE dari SLA dan sebaiknya melakukan upgrade ke salah satu versi yang didukung.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang terhubung ke versi rentan libnss3 yang ditemukan di versi NSS (Layanan Keamanan Jaringan) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara aplikasi tersebut mengonfigurasi NSS. GKE pada image VMware COS dan Ubuntu telah menginstal versi yang rentan, dan perlu di-patch.

    Kemungkinan besar, CVE-2021-43527 dapat berdampak luas pada aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS \#7, atau PKCS \#12. Selain aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, fungsionalitas X.509, OCSP, atau CRL dapat terpengaruh. Dampaknya bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Anthos di VMware tidak menggunakan libnss3 untuk API yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE ini untuk GKE di VMware diberi rating Sedang.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi Anthos berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi Anthos berikut:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Apakah Anda menggunakan GKE pada versi VMware yang lebih lama dari 1.18? Anda menggunakan versi Anthos dari SLA dan sebaiknya upgrade ke salah satu versi yang didukung.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    GKE Enterprise aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang terhubung ke versi rentan libnss3 yang ditemukan di versi NSS (Layanan Keamanan Jaringan) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Cluster Anthos pada image Azure Ubuntu telah menginstal versi yang rentan, dan perlu di-patch.

    Kemungkinan besar, CVE-2021-43527 dapat berdampak luas pada aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, fungsionalitas X.509, OCSP, atau CRL dapat terpengaruh. Dampaknya bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Cluster Anthos di Azure tidak menggunakan libnss3 untuk API yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE ini untuk Anthos di Azure diberi rating Sedang.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu Anthos di versi Azure berikut:

    • v1.21.6-gke.1500

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    GCP-2022-004

    Dipublikasikan: 04-02-2022
    Referensi: CVE-2021-4034

    GKE

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, yang merupakan bagian dari paket kit kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan.

    Apa yang harus saya lakukan?

    GKE tidak terpengaruh karena modul yang rentan, policykit-1, tidak diinstal pada image COS atau Ubuntu yang digunakan di GKE. Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, yang merupakan bagian dari paket kit kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan.

    Konfigurasi default GKE Enterprise sudah memberikan hak istimewa "sudo" penuh kepada pengguna, sehingga eksploit ini tidak mengubah postur keamanan GKE Enterprise yang ada

    Detail teknis

    Agar bug ini dapat dieksploitasi, penyerang memerlukan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di VMware menyertakan versi policykit-1 dalam gambar rilisnya, konfigurasi default GKE Enterprise memungkinkan sudo tanpa sandi bagi siapa saja yang sudah memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak terpengaruh.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan
    GKE di AWS tidak terpengaruh. Modul yang rentan, policykit-1, tidak diinstal pada image Ubuntu yang digunakan oleh GKE versi saat ini dan sebelumnya di AWS. Tidak ada

    GKE Enterprise aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, yang merupakan bagian dari paket kit kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan.

    Konfigurasi default GKE Enterprise sudah memberikan hak istimewa "sudo" penuh kepada pengguna, sehingga eksploit ini tidak mengubah postur keamanan GKE Enterprise yang ada

    Detail teknis

    Agar bug ini dapat dieksploitasi, penyerang memerlukan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di Azure menyertakan versi policykit-1 dalam gambar rilisnya, konfigurasi default GKE Enterprise memungkinkan sudo tanpa sandi bagi siapa saja yang sudah memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak terpengaruh.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan
    Google Distributed Cloud Virtual untuk Bare Metal mungkin terpengaruh, bergantung pada paket yang diinstal pada sistem operasi yang dikelola pelanggan. Pindai image OS dan patch jika perlu. Tidak ada

    GCP-2022-002

    Dipublikasikan: 01-02-2022
    Diperbarui: 07-03-2022
    Referensi:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    2022-02-07 Update di GKE di Azure dan bagian GKE4 Ditambahkan: Menambahkan update peluncuran untuk GKE dan GKE di VMware.

    GKE

    Diperbarui: 07-03-2022

    Deskripsi Keseriusan

    Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini.

    Lihat catatan rilis COS untuk detail selengkapnya.

    Detail teknis

    Di CVE-2021-4154, penyerang dapat memanfaatkan parameter panggilan sistem fsconfig untuk memicu bug use-after-free di kernel linux, yang mengakibatkan mendapatkan hak istimewa root. Ini adalah serangan eskalasi hak istimewa lokal yang akan menyebabkan pelanggaran container.

    CVE-2021-22600 adalah eksploitasi bebas ganda pada package_set_ring yang dapat menyebabkan escape container ke node host.

    Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan adanya pelanggaran container.

    Jalur eksploitasi untuk kerentanan ini yang mengandalkan syscall "unshare" diblokir pada cluster GKE Autopilot secara default menggunakan pemfilteran seccomp.

    Pengguna yang telah mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi.

    Apa yang harus saya lakukan?

    Update 07-03-2022: Versi image node Linux untuk GKE versi berikut telah diupdate dengan kode guna memperbaiki semua kerentanan ini pada image Ubuntu dan COS. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut.

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Update 25-02-2022: Jika Anda menggunakan image node Ubuntu, 1.22.6-gke.1000 tidak menangani CVE-2021-22600. Kami akan memperbarui buletin ini dengan versi patch Ubuntu jika tersedia.


    Update 23-02-2022: Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Update 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari.


    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    Versi 1.22 dan 1.23 juga sedang dalam proses. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Cluster GKE aktif

    Diperbarui: 23-02-2022

    Deskripsi Keseriusan

    Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk detail selengkapnya.

    Detail teknis

    Di CVE-2021-4154, penyerang dapat memanfaatkan parameter panggilan sistem fsconfig untuk memicu bug use-after-free di kernel linux, yang mengakibatkan mendapatkan hak istimewa root. Ini adalah serangan eskalasi hak istimewa lokal yang akan menyebabkan pelanggaran container.

    CVE-2021-22600 adalah eksploitasi bebas ganda pada package_set_ring yang dapat menyebabkan escape container ke node host.

    Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan adanya pelanggaran container.

    Pengguna yang telah mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi.

    Apa yang harus saya lakukan?

    Update 2022-02-23: versi 1.10.2 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185) kini dijadwalkan pada 1 Maret.

    Update 2022-02-23: Menambahkan versi yang di-patch untuk CVE-2021-2260.

    Versi 1.10.1 tidak mengatasi CVE-2021-22600, tetapi mengatasi kerentanan lainnya. Versi 1.9.4 dan 1.10.2, keduanya yang belum dirilis, akan mengatasi CVE-2021-22600. Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu GKE di versi VMware berikut:

    • 1.10.1 (Perbaikan CVE-2021-4154 dan CVE-2022-0185. Dirilis 10 Februari)
    • 1.8.7 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Dirilis 17 Februari)
    • 1.9.4 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Dirilis 23 Februari)
    • 1.10.2 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Dijadwalkan untuk 24 Februari)

    Update 04-02-2022: Menambahkan informasi tentang image Ubuntu yang tidak menangani CVE-2021-22600.

    Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu GKE di versi VMware berikut:

    • 1.10.1 (hanya pembaruan COS. Patch Ubuntu akan dijadwalkan pada 23 Februari (1.10.2)
    • 1.9.4 (dijadwalkan untuk 15 Februari)
    • 1.8.7 (dijadwalkan untuk 15 Februari)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk detail selengkapnya.

    Detail teknis

    Di CVE-2021-4154, penyerang dapat memanfaatkan parameter panggilan sistem fsconfig untuk memicu bug use-after-free di kernel linux, yang mengakibatkan mendapatkan hak istimewa root. Ini adalah serangan eskalasi hak istimewa lokal yang akan menyebabkan pelanggaran container.

    CVE-2021-22600 adalah eksploitasi bebas ganda pada package_set_ring yang dapat menyebabkan escape container ke node host.

    Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan adanya pelanggaran container.

    Pengguna yang telah mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi.

    Apa yang harus saya lakukan?

    GKE on AWS

    Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke GKE berikut di versi AWS:

    • 1.21.6-gke.1500 dan yang lebih baru (tersedia pada bulan Februari)

    GKE di AWS (generasi sebelumnya)

    Versi image node Linux untuk versi GKE berikut di AWS (generasi sebelumnya) telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu GKE berikut di versi AWS (generasi sebelumnya):

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE Enterprise aktif

    Deskripsi Keseriusan

    Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk detail selengkapnya.

    Detail teknis

    Di CVE-2021-4154, penyerang dapat memanfaatkan parameter panggilan sistem fsconfig untuk memicu bug use-after-free di kernel linux, yang mengakibatkan mendapatkan hak istimewa root. Ini adalah serangan eskalasi hak istimewa lokal yang akan menyebabkan pelanggaran container.

    CVE-2021-22600 adalah eksploitasi bebas ganda pada package_set_ring yang dapat menyebabkan escape container ke node host.

    Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan adanya pelanggaran container.

    Pengguna yang telah mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke GKE berikut di versi Azure:

    • 1.21.6-gke.1500 dan yang lebih baru (tersedia pada bulan Februari)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GCP-2021-024

    Dipublikasikan: 21-10-2021
    Referensi: CVE-2021-25742

    GKE

    Deskripsi Keseriusan

    Terdapat masalah keamanan pada pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus memahami masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan

    Terdapat masalah keamanan pada pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus memahami masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan

    Terdapat masalah keamanan pada pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus memahami masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan

    Terdapat masalah keamanan pada pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus memahami masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya.

    Tidak ada

    GCP-2021-019

    Dipublikasikan: 29-09-2021

    GKE

    Deskripsi Keseriusan

    Ada masalah umum saat mengupdate resource BackendConfig menggunakan v1beta1 API yang menghapus kebijakan keamanan Google Cloud Armor yang aktif dari layanannya.

    Apakah saya terpengaruh?

    Jika BackendConfig Anda sudah diperbarui dengan v1beta1 API, kebijakan keamanan Google Cloud Armor Anda mungkin telah dihapus. Untuk memastikan apakah hal ini terjadi, jalankan perintah berikut:

    
    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Jika respons menampilkan output: cluster Anda terdampak oleh masalah tersebut. Output perintah ini menampilkan daftar resource BackendConfig (<namespace>/<name>) yang terpengaruh oleh masalah tersebut.
    • Jika outputnya kosong: BackendConfig Anda belum diupdate menggunakan v1beta1 API sejak masalah muncul. Semua update mendatang pada BackendConfig hanya boleh menggunakan v1.

    Masalah ini memengaruhi versi GKE berikut:

    • 1.18.19-gke.1400 hingga 1.18.20-gke.5100 (eksklusif)
    • 1.19.10-gke.700 hingga 1.19.14-gke.300 (eksklusif)
    • 1.20.6-gke.700 hingga 1.20.9-gke.900 (eksklusif)
    • 1.21 hingga 1.21.1-gke.2700 (eksklusif)

    Jika Anda tidak mengonfigurasi Google Cloud Armor pada resource Ingress melalui BackendConfig, masalah ini tidak akan memengaruhi cluster Anda.

    Apa yang harus saya lakukan?

    Upgrade bidang kontrol GKE Anda ke salah satu versi terupdate berikut yang akan menambal masalah ini dan memungkinkan resource v1beta1 BackendConfig digunakan dengan aman:

    • 1.21.1-gke.2700 dan yang lebih baru
    • 1.20.9-gke.900 dan yang lebih baru
    • 1.19.14-gke.300 dan yang lebih baru
    • 1.18.20-gke.5100 dan yang lebih baru

    Masalah ini juga dapat dicegah dengan menghindari deployment resource v1beta1 BackendConfig. Jika Anda mengonfigurasi Google Cloud Armor pada resource Ingress melalui BackendConfig dan mendapati bahwa Anda terkena dampak melalui langkah-langkah di atas, aktifkan kembali Google Cloud Armor dengan mengirimkan update ke resource BackendConfig saat ini dengan versi API cloud.google.com/v1 .

    Untuk mencegah masalah ini, hanya lakukan update pada BackendConfig menggunakan v1 BackendConfig API.

    Karena v1 BackendConfig mendukung semua kolom yang sama seperti v1beta1 dan tidak membuat perubahan yang dapat menyebabkan gangguan, kolom API dapat diperbarui secara transparan. Untuk melakukannya, ganti kolom apiVersion dari manifes BackendConfig yang aktif dengan cloud.google.com/v1 dan jangan gunakan cloud.google.com/v1beta1.

    Manifes contoh berikut menjelaskan resource BackendConfig yang menggunakan v1 API:

    
    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Jika Anda memiliki sistem atau alat CI/CD yang mengupdate resource BackendConfig secara rutin, pastikan Anda menggunakan grup API cloud.google.com/v1 dalam sistem tersebut

    Rendah

    GCP-2021-022

    Dipublikasikan: 23-09-2021

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan telah ditemukan di modul LDAP GKE Enterprise Identity Service (AIS) GKE pada VMware versi 1.8 dan 1.8.1, di mana kunci seed yang digunakan dalam membuat kunci dapat diprediksi. Dengan kerentanan ini, pengguna terautentikasi dapat menambahkan klaim arbitrer dan mengeskalasikan hak istimewa tanpa batas.

    Detail teknis

    Penambahan terbaru pada kode AIS membuat kunci simetris menggunakan modul matematika/rand golang, yang tidak cocok untuk kode yang sensitif terhadap keamanan. Modul ini digunakan sedemikian rupa sehingga akan menghasilkan kunci yang dapat diprediksi. Selama verifikasi identitas, kunci layanan token aman (STS) akan dibuat, yang selanjutnya dienkripsi dengan kunci simetris yang mudah diperoleh.

    Apa yang harus saya lakukan?

    Kerentanan ini hanya memengaruhi pelanggan yang menggunakan AIS di GKE pada VMware versi 1.8 dan 1.8.1. Untuk pengguna GKE di VMware 1.8, upgrade cluster Anda ke versi berikut:

    • 1.8.2
    Tinggi

    GCP-2021-021

    Dipublikasikan: 22-09-2021
    Referensi: CVE-2020-8561

    GKE

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

    Detail teknis

    Dengan kerentanan ini, pelaku yang mengontrol respons atas permintaan MutatingWebhookConfiguration atau ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna dapat melihat log kube-apiserver saat level log disetel ke 10, mereka dapat melihat respons dan header yang dialihkan di log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang memberikan perlindungan dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver disetel ke false.
    • Level log kube-apiserver ditetapkan di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2020-8561

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

    Detail teknis

    Dengan kerentanan ini, pelaku yang mengontrol respons atas permintaan MutatingWebhookConfiguration atau ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna dapat melihat log kube-apiserver saat level log disetel ke 10, mereka dapat melihat respons dan header yang dialihkan di log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang memberikan perlindungan dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver disetel ke false.
    • Level log kube-apiserver ditetapkan di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2020-8561

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

    Detail teknis

    Dengan kerentanan ini, pelaku yang mengontrol respons atas permintaan MutatingWebhookConfiguration atau ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna dapat melihat log kube-apiserver saat level log disetel ke 10, mereka dapat melihat respons dan header yang dialihkan di log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang memberikan perlindungan dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver disetel ke false.
    • Level log kube-apiserver ditetapkan di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2020-8561

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

    Detail teknis

    Dengan kerentanan ini, pelaku yang mengontrol respons atas permintaan MutatingWebhookConfiguration atau ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna dapat melihat log kube-apiserver saat level log disetel ke 10, mereka dapat melihat respons dan header yang dialihkan di log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang memberikan perlindungan dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver disetel ke false.
    • Level log kube-apiserver ditetapkan di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2020-8561

    Sedang

    GCP-2021-018

    Dipublikasikan: 15-09-2021
    Diperbarui: 2021-09-24
    Referensi: CVE-2021-25741

    Update 24-09-2021: buletin GKE pada Bare Metal diperbarui dengan versi tambahan yang di-patch.

    Update 20-09-2021: Buletin ditambahkan untuk GKE di Bare Metal

    Update 16-09-2021: Buletin ditambahkan untuk GKE di VMware


    GKE

    Deskripsi Keseriusan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host.

    Detail teknis:

    Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.

    Apa yang harus saya lakukan?

    Sebaiknya Anda mengupgrade kumpulan node ke salah satu versi berikut atau yang lebih baru untuk memanfaatkan patch terbaru:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    Versi berikut juga berisi perbaikan:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host.

    Detail teknis:

    Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.

    Apa yang harus saya lakukan?

    Diperbarui 24-09-2021: Versi yang di-patch 1.8.3 dan 1.7.4 kini tersedia.

    Diperbarui 17-09-2021: Mengoreksi daftar versi yang tersedia yang berisi patch.


    Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host.

    Detail teknis:

    Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.

    Apa yang harus saya lakukan?

    Update 16-9-2021: Menambahkan daftar versi gke yang didukung untuk objek AWSCluster dan AWSNodePool.


    Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda:

    • Upgrade objek AWSManagementService, AWSCluster dan AWSNodePool Anda ke versi berikut:
      • 1.8.2
    • Update versi gke objek AWSCluster dan AWSNodePool ke salah satu versi Kubernetes yang didukung:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host.

    Detail teknis:

    Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.

    Apa yang harus saya lakukan?

    Versi GKE berikut di Bare Metal telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:

    • 1.8.3
    • 1.7.4
    Tinggi

    GCP-2021-017

    Dipublikasikan: 2021-09-01
    Diperbarui: 2021-09-23
    Referensi: CVE-2021-33909
    CVE-2021-33910

    GKE

    Deskripsi Keseriusan
    Pembaruan 23-09-2021:

    Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini terhadap serangan yang berasal dari dalam container.


    Pembaruan 15-09-2021:

    Versi GKE berikut mengatasi kerentanan:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Di CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow integer, Operasi Tulis di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran berlebihan (melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang lokal) yang mengakibatkan error sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Di CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow integer, Operasi Tulis di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran berlebihan (melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang lokal) yang mengakibatkan error sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk GKE di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Di CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow integer, Operasi Tulis di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran berlebihan (melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang lokal) yang mengakibatkan error sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux dan COS untuk GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (khusus Linux)

    Lihat Histori versi--Kubernetes dan versi kernel node.

    Tinggi

    GCP-2021-015

    Dipublikasikan: 13-07-2021
    Diperbarui: 2021-07-15
    Referensi: CVE-2021-22555

    GKE

    Deskripsi Keseriusan

    Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan di mana pelaku kejahatan dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan pelanggaran container ke host. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

    Detail teknis

    Dalam serangan ini, operasi tulis di luar batas setsockopt dalam subsistem netfilter di Linux dapat memungkinkan kerusakan heap (dan, karenanya, denial of service) dan eskalasi hak istimewa.

    Apa yang harus saya lakukan?

    Versi Linux berikut di GKE telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-22555

    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan di mana pelaku kejahatan dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan pelanggaran container ke host. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

    Detail teknis

    Dalam serangan ini, operasi tulis di luar batas setsockopt dalam subsistem netfilter di Linux dapat memungkinkan kerusakan heap (dan, karenanya, denial of service) dan eskalasi hak istimewa.

    Apa yang harus saya lakukan?

    Versi Linux berikut di GKE pada VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1,8
    • 1.7.3
    • 1.6.4

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-22555

    Tinggi

    GCP-2021-014

    Dipublikasikan: 05-07-2021
    Referensi: CVE-2021-34527

    GKE

    Deskripsi Keseriusan

    Microsoft memublikasikan buletin keamanan pada kerentanan Eksekusi kode jarak jauh (RCE), CVE-2021-34527, yang memengaruhi spooler cetak di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan pembaruan tentang kerentanan terkait, yang disebut "PrintNightmare" yang juga memengaruhi spooler cetak Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Node Windows GKE tidak memuat layanan Spooler yang terpengaruh sebagai bagian dari image dasar, sehingga deployment GKE Windows tidak rentan terhadap serangan ini.

    Kerentanan apa yang ditangani oleh buletin ini?

    Tinggi

    GCP-2021-012

    Dipublikasikan: 01-07-2021
    Diperbarui: 2021-07-09
    Referensi: CVE-2021-34824

    GKE

    Deskripsi Keseriusan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yang memiliki kredensial yang ditentukan dalam kolom kredensial Gateway dan DestinationRule yang dapat diakses dari berbagai namespace.

    Detail teknis:

    Istio secure Gateway atau workload menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari lokasi dan disampaikan ke gateway serta workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan secara rahasia dalam namespace-nya. Namun, bug dalam lokasi memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di lokasi.

    Apa yang harus saya lakukan?

    Cluster GKE tidak menjalankan Istio secara default dan, jika diaktifkan, menggunakan Istio versi 1.6, yang tidak rentan terhadap serangan ini. Jika Anda telah menginstal atau mengupgrade Istio di cluster ke Istio 1.8 atau yang lebih baru, upgrade Istio Anda ke versi terbaru yang didukung.

    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yang memiliki kredensial yang ditentukan dalam kolom kredensial Gateway dan DestinationRule yang dapat diakses dari berbagai namespace.

    Detail teknis:

    Istio secure Gateway atau workload menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari lokasi dan disampaikan ke gateway serta workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan secara rahasia dalam namespace-nya. Namun, bug dalam lokasi memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di lokasi.

    Apa yang harus saya lakukan?

    Cluster Anthos di VMware v1.6 dan v1.7 tidak rentan terhadap serangan ini. Cluster Anthos di VMware v1.8 rentan.

    Jika Anda menggunakan cluster Anthos di VMware v1.8, upgrade ke versi yang di-patch berikut atau yang lebih baru:

    • 1.8.0-gke.25
    Tinggi

    Cluster GKE aktif

    Deskripsi Keseriusan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yang memiliki kredensial yang ditentukan dalam kolom kredensial Gateway dan DestinationRule yang dapat diakses dari berbagai namespace.

    Detail teknis:

    Istio secure Gateway atau workload menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari lokasi dan disampaikan ke gateway serta workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan secara rahasia dalam namespace-nya. Namun, bug dalam lokasi memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di lokasi. Cluster yang dibuat atau diupgrade dengan cluster Anthos di bare metal v1.8.0 terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Anthos v1.6 dan 1.7 tidak rentan terhadap serangan ini. Jika Anda memiliki cluster v1.8.0, download dan instal bmctl versi 1.8.1 dan upgrade cluster Anda ke versi yang di-patch berikut:

    • 1.8.1
    Tinggi

    GCP-2021-011

    Dipublikasikan: 04-06-2021
    Diperbarui: 2021-10-19
    Referensi: CVE-2021-30465

    Update 19-10-2021: Menambahkan buletin untuk GKE di VMware, GKE di AWS, dan GKE pada Bare Metal.

    GKE

    Deskripsi Keseriusan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Untuk GKE, karena eksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai tingkat keparahan kerentanan ini di MEDIUM.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya menggunakan volume terpasang yang sama dengan sebuah symlink.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root.

    Apa yang harus saya lakukan?

    Terdapat patch yang baru dirilis untuk runc (1.0.0-rc95) yang memperbaiki kerentanan ini.

    Upgrade cluster GKE Anda ke salah satu versi terupdate berikut:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Untuk GKE di VMware, karena eksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai tingkat keparahan kerentanan ini di MEDIUM.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya menggunakan volume terpasang yang sama dengan sebuah symlink.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root.

    Apa yang harus saya lakukan?

    Terdapat patch yang baru dirilis untuk runc yang memperbaiki kerentanan ini. Upgrade GKE Anda di VMware ke salah satu versi berikut:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Karena ini adalah kerentanan tingkat OS, GKE di AWS tidak rentan.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya menggunakan volume terpasang yang sama dengan sebuah symlink.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root.

    Apa yang harus saya lakukan?

    Pastikan versi OS tempat Anda menjalankan GKE di AWS telah diupgrade ke versi OS terbaru yang memiliki paket runc yang telah diupdate.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Karena ini adalah kerentanan tingkat OS, GKE di Bare Metal tidak rentan.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya menggunakan volume terpasang yang sama dengan sebuah symlink.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root.

    Apa yang harus saya lakukan?

    Pastikan versi OS tempat Anda menjalankan Google Distributed Cloud Virtual untuk Bare Metal diupgrade ke versi OS terbaru dengan paket runc yang telah diupdate.

    Tidak ada

    GCP-2021-006

    Dipublikasikan: 11-05-2021
    Referensi: CVE-2021-31920

    GKE

    Deskripsi Keseriusan

    Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio.

    Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, yang membuat permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.

    Apa yang harus saya lakukan?

    Sebaiknya Anda mengupdate dan mengonfigurasi ulang cluster GKE. Perlu diperhatikan bahwa Anda harus menyelesaikan kedua langkah di bawah ini agar berhasil mengatasi kerentanan:

    1. Update cluster Anda: Selesaikan petunjuk berikut untuk mengupgrade cluster Anda ke versi patch terbaru sesegera mungkin:
      • Jika Anda menggunakan Istio di GKE 1.6:

        Versi rilis patch terbaru adalah 1.6.14-gke.3. Ikuti petunjuk upgrade untuk mengupgrade cluster Anda ke versi terbaru.

      • Jika Anda menggunakan Istio di GKE 1.4:
      • Rilis Istio di GKE 1.4 tidak lagi didukung oleh Istio dan kami tidak melakukan backport perbaikan CVE ke versi tersebut. Ikuti petunjuk upgrade Istio untuk mengupgrade cluster Anda ke versi 1.6, lalu ikuti petunjuk di atas untuk mendapatkan versi Istio terbaru di GKE 1.6.

    2. Mengonfigurasi Istio:

      Setelah cluster di-patch, Anda harus mengonfigurasi ulang Istio di GKE. Lihat panduan praktik terbaik keamanan untuk mengonfigurasi sistem Anda dengan benar.

    Tinggi

    GCP-2021-004

    Dipublikasikan: 06-05-2021
    Referensi: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    Deskripsi Keseriusan

    Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy.

    Cluster GKE tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin akan rentan terhadap denial of service.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade bidang kontrol GKE Anda ke salah satu versi yang di-patch berikut:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy.

    GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade GKE di VMware ke salah satu versi yang di-patch berikut saat dirilis:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Sedang

    Cluster GKE aktif

    Diperbarui: 06-05-2021

    Deskripsi Keseriusan

    Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy.

    Google Distributed Cloud Virtual for Bare Metal menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Google Distributed Cloud Virtual untuk Bare Metal ke salah satu versi yang di-patch berikut saat dirilis:

    • 1.6.3
    • 1.7.1
    Sedang

    GCP-2021-003

    Dipublikasikan: 19-04-2021
    Referensi: CVE-2021-25735

    GKE

    Deskripsi Keseriusan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi.

    Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Pendaftaran Validasi diterapkan yang menggunakan properti objek Node lama (misalnya, kolom dalam Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan penyusupan cluster. Tidak ada kebijakan yang diterapkan oleh GKE dan pengontrol penerimaan bawaan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses masuk tambahan yang telah mereka instal.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster GKE Anda ke salah satu versi yang di-patch berikut:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi.

    Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Pendaftaran Validasi diterapkan yang menggunakan properti objek Node lama (misalnya, kolom dalam Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan penyusupan cluster. Tidak ada kebijakan yang diterapkan oleh GKE dan pengontrol penerimaan bawaan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses masuk tambahan yang telah mereka instal.

    Apa yang harus saya lakukan?

    Versi patch yang akan datang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi.

    Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Pendaftaran Validasi diterapkan yang menggunakan properti objek Node lama (misalnya, kolom dalam Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan penyusupan cluster. Tidak ada kebijakan yang diterapkan oleh GKE dan pengontrol penerimaan bawaan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses masuk tambahan yang telah mereka instal.

    Apa yang harus saya lakukan?

    Versi patch yang akan datang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi.

    Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Pendaftaran Validasi diterapkan yang menggunakan properti objek Node lama (misalnya, kolom dalam Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan penyusupan cluster. Tidak ada kebijakan yang diterapkan oleh GKE dan pengontrol penerimaan bawaan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses masuk tambahan yang telah mereka instal.

    Apa yang harus saya lakukan?

    Versi patch yang akan datang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    GCP-2021-001

    Dipublikasikan: 28-01-2021
    Referensi: CVE-2021-3156

    GKE

    Deskripsi Keseriusan

    Kerentanan baru-baru ini ditemukan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat mengizinkan penyerang yang memiliki akses shell lokal tanpa hak istimewa pada sistem dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root pada sistem.

    Cluster Google Kubernetes Engine (GKE) tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang diberi wewenang untuk SSH ke node GKE sudah dianggap memiliki hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa root sesuai desainnya. Kerentanan tidak menghasilkan jalur eskalasi hak istimewa tambahan dalam skenario ini.
    • Sebagian besar container sistem GKE dibangun dari image dasar tanpa distro yang tidak menginstal shell atau sudo. Gambar lainnya dibuat dari image dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke host karena adanya batas penampung.

    Apa yang harus saya lakukan?

    Karena cluster GKE tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

    GKE akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan baru-baru ini ditemukan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat mengizinkan penyerang yang memiliki akses shell lokal tanpa hak istimewa pada sistem dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root pada sistem.

    GKE di VMware tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang diberi otorisasi untuk SSH ke GKE pada node VMware sudah dianggap sangat istimewa dan dapat menggunakan sudo untuk mendapatkan hak istimewa root sesuai desainnya. Kerentanan tidak menghasilkan jalur eskalasi hak istimewa tambahan dalam skenario ini.
    • Sebagian besar GKE pada container sistem VMware dibangun dari image dasar tanpa distro yang tidak menginstal shell atau sudo. Gambar lainnya dibuat dari image dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke host karena adanya batas penampung.

    Apa yang harus saya lakukan?

    Karena GKE pada cluster VMware tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

    GKE di VMware akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan baru-baru ini ditemukan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat mengizinkan penyerang yang memiliki akses shell lokal tanpa hak istimewa pada sistem dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root pada sistem.

    GKE di AWS tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang diberi otorisasi untuk SSH ke GKE pada node AWS sudah dianggap memiliki hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa root sesuai desainnya. Kerentanan tidak menghasilkan jalur eskalasi hak istimewa tambahan dalam skenario ini.
    • Sebagian besar GKE pada container sistem AWS dibangun dari image dasar serverless yang tidak menginstal shell atau sudo. Gambar lainnya dibuat dari image dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke host karena adanya batas penampung.

    Apa yang harus saya lakukan?

    Karena GKE pada cluster AWS tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

    GKE di AWS akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin.

    Tidak ada

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan baru-baru ini ditemukan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat mengizinkan penyerang yang memiliki akses shell lokal tanpa hak istimewa pada sistem dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root pada sistem.

    Cluster Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang diberi otorisasi untuk SSH ke Google Distributed Cloud Virtual untuk node Bare Metal sudah dianggap memiliki hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa root sesuai desain. Kerentanan tidak menghasilkan jalur eskalasi hak istimewa tambahan dalam skenario ini.
    • Sebagian besar container sistem Google Distributed Cloud Virtual for Bare Metal dibangun dari image dasar tanpa distro yang tidak memiliki shell atau sudo terinstal. Gambar lainnya dibuat dari image dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke host karena adanya batas penampung.

    Apa yang harus saya lakukan?

    Karena cluster Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

    Google Distributed Cloud Virtual untuk Bare Metal akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin.

    Tidak ada

    GCP-2020-015

    Dipublikasikan: 2020-12-07
    Diperbarui: 2021-12-22
    Referensi: CVE-2020-8554

    Update 22-12-2021: Menggunakan gcloud beta, bukan perintah gcloud.

    Update 15-12-2021: Menambahkan mitigasi tambahan untuk GKE.

    GKE

    Deskripsi Keseriusan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut seharusnya menggunakan gcloud beta, bukan perintah gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster.


    Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain dalam cluster tersebut.

    Kerentanan ini sendiri tidak memberikan izin kepada penyerang untuk membuat Layanan Kubernetes.

    Semua cluster Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu melakukan perubahan desain yang tidak kompatibel dengan versi lama pada versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti dalam cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah dengan membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIP bukan fitur yang umum digunakan.

    Batasi penggunaan ExternalIPs dalam cluster dengan salah satu metode berikut:

    1. Gunakan GKE Enterprise Policy Controller atau Gatekeeper dengan template batasan ini, lalu terapkan. Contoh:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol penerimaan untuk mencegah penggunaan ExternalIP. Project Kubernetes telah menyediakan contoh pengontrol penerimaan untuk tugas ini.

    Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang diberikan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa dan komponen sistem yang diberi container.services.updateStatus izin yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut seharusnya menggunakan gcloud beta, bukan perintah gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster.


    Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain dalam cluster tersebut.

    Kerentanan ini sendiri tidak memberikan izin kepada penyerang untuk membuat Layanan Kubernetes.

    Semua GKE di VMware terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu melakukan perubahan desain yang tidak kompatibel dengan versi lama pada versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti dalam cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah dengan membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIP bukan fitur yang umum digunakan.

    Batasi penggunaan ExternalIPs dalam cluster dengan salah satu metode berikut:

    1. Gunakan GKE Enterprise Policy Controller atau Gatekeeper dengan template batasan ini, lalu terapkan. Contoh:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol penerimaan untuk mencegah penggunaan ExternalIP. Project Kubernetes telah menyediakan contoh pengontrol penerimaan untuk tugas ini.

    Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang diberikan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa dan komponen sistem yang diberi container.services.updateStatus izin yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut seharusnya menggunakan gcloud beta, bukan perintah gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster.


    Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain dalam cluster tersebut.

    Kerentanan ini sendiri tidak memberikan izin kepada penyerang untuk membuat Layanan Kubernetes.

    Semua GKE di AWS terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu melakukan perubahan desain yang tidak kompatibel dengan versi lama pada versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti dalam cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah dengan membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIP bukan fitur yang umum digunakan.

    Batasi penggunaan ExternalIPs dalam cluster dengan salah satu metode berikut:

    1. Gunakan GKE Enterprise Policy Controller atau Gatekeeper dengan template batasan ini, lalu terapkan. Contoh:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol penerimaan untuk mencegah penggunaan ExternalIP. Project Kubernetes telah menyediakan contoh pengontrol penerimaan untuk tugas ini.

    Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang diberikan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa dan komponen sistem yang diberi container.services.updateStatus izin yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    GCP-2020-014

    Dipublikasikan: 20-10-2020
    Referensi: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Diperbarui: 20-10-2020

    Deskripsi Keseriusan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Permasalahannya adalah:

    • CVE-2020-8563: Kebocoran rahasia di log untuk vSphere Provider kube-controller-manager
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file memiliki format yang salah dan loglevel >= 4
    • CVE-2020-8565: Perbaikan tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token di log saat logLevel >= 9. Ditemukan oleh GKE Security.
    • CVE-2020-8566: Ceph RBD adminSecrets diekspos dalam log saat loglevel >= 4

    GKE tidak terpengaruh.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan lebih lanjut karena level logging panjang default GKE.

    Tidak ada

    Cluster GKE aktif

    Diperbarui: 10-10-2020

    Deskripsi Keseriusan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Permasalahannya adalah:

    • CVE-2020-8563: Kebocoran rahasia di log untuk vSphere Provider kube-controller-manager
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file memiliki format yang salah dan loglevel >= 4
    • CVE-2020-8565: Perbaikan tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token di log saat logLevel >= 9. Ditemukan oleh GKE Security.
    • CVE-2020-8566: Ceph RBD adminSecrets diekspos dalam log saat loglevel >= 4

    GKE di VMware tidak terpengaruh.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan lebih lanjut karena level logging panjang default GKE.

    Tidak ada

    Cluster GKE aktif

    Diperbarui: 20-10-2020

    Deskripsi Keseriusan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Permasalahannya adalah:

    • CVE-2020-8563: Kebocoran rahasia di log untuk vSphere Provider kube-controller-manager
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file memiliki format yang salah dan loglevel >= 4
    • CVE-2020-8565: Perbaikan tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token di log saat logLevel >= 9. Ditemukan oleh GKE Security.
    • CVE-2020-8566: Ceph RBD adminSecrets diekspos dalam log saat loglevel >= 4

    GKE pada AWS tidak terpengaruh.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan lebih lanjut karena level logging panjang default GKE.

    Tidak ada

    GCP-2020-012

    Dipublikasikan: 14-09-2020
    Referensi: CVE-2020-14386

    GKE

    Deskripsi Keseriusan

    Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang mungkin memungkinkan escape container untuk mendapatkan hak istimewa root di node host.

    Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade bidang kontrol Anda, lalu node Anda ke salah satu versi yang di-patch yang tercantum di bawah ini:

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    Eksploitasi kerentanan ini memerlukan CAP_NET_RAW, tetapi sangat sedikit container yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui PodSecurityPolicy atau Pengontrol Kebijakan:

    Hapus kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau, dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis 1 hingga 10 byte memori kernel, dan mungkin meng-escape container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan dengan tingkat keparahan tinggi.

    Tinggi

    Cluster GKE aktif

    Diperbarui: 17-09-2020

    Deskripsi Keseriusan

    Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang mungkin memungkinkan escape container untuk mendapatkan hak istimewa root di node host.

    Semua node GKE pada VMware akan terpengaruh.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi {gke_on_prem_name}} mendatang berikut akan berisi perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui jika tersedia:

    • GKE pada VMware 1.4.3, kini tersedia.
    • GKE pada VMware 1.3.4, kini tersedia.

    Eksploitasi kerentanan ini memerlukan CAP_NET_RAW, tetapi sangat sedikit container yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui PodSecurityPolicy atau Pengontrol Kebijakan:

    Hapus kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau, dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis 1 hingga 10 byte memori kernel, dan mungkin meng-escape container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan dengan tingkat keparahan tinggi.

    Tinggi

    Cluster GKE aktif

    Diperbarui: 13-10-2020

    Deskripsi Keseriusan

    Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang mungkin memungkinkan escape container untuk mendapatkan hak istimewa root di node host.

    Semua GKE pada node AWS akan terpengaruh.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade layanan pengelolaan dan cluster pengguna ke versi yang di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut akan mencakup perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui jika tersedia:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Hapus kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau, dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis 1 hingga 10 byte memori kernel, dan mungkin meng-escape container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan dengan tingkat keparahan tinggi.

    Tinggi

    GCP-2020-011

    Dipublikasikan: 24-07-2020
    Referensi: CVE-2020-8558

    GKE

    Deskripsi Keseriusan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi.

    Dengan memanfaatkan kerentanan ini pada cluster GKE, penyerang harus memiliki hak istimewa administrator jaringan di Google Cloud yang menghosting VPC cluster. Kerentanan ini saja tidak memberikan hak istimewa administrator jaringan kepada penyerang. Karena alasan inilah, kerentanan ini telah diberi tingkat keparahan Rendah untuk GKE.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade kumpulan node cluster Anda ke versi GKE berikut (dan yang lebih baru):

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Rendah

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:

    • GKE di VMware 1.4.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi.

    Untuk memanfaatkan kerentanan ini pada cluster pengguna, penyerang harus menonaktifkan pemeriksaan tujuan sumber pada instance EC2 dalam cluster. Hal ini mengharuskan penyerang memiliki izin IAM AWS untuk ModifyInstanceAttribute atau ModifyNetworkInterfaceAttribute pada instance EC2. Karena alasan inilah, kerentanan ini telah diberi tingkat keparahan Rendah untuk GKE di AWS.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut diperkirakan akan menyertakan perbaikan untuk kerentanan ini:

    • GKE pada AWS 1.4.1-gke.17

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Rendah

    GCP-2020-009

    Dipublikasikan: 15-07-2020
    Referensi: CVE-2020-8559

    GKE

    Deskripsi Keseriusan

    Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang telah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif.

    Perlu diperhatikan bahwa agar penyerang mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini dengan sendirinya tidak akan membahayakan node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. Cluster akan diupgrade secara otomatis dalam beberapa minggu ke depan, dan versi yang di-patch akan tersedia pada 19 Juli 2020 untuk jadwal upgrade manual yang dipercepat. Versi bidang kontrol GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memitigasi kerentanan CVE-2020-8559. Serangan ini dinilai sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan node yang telah disusupi kepada penyerang.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang telah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif.

    Perlu diperhatikan bahwa agar penyerang mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini dengan sendirinya tidak akan membahayakan node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memitigasi kerentanan CVE-2020-8559. Serangan ini dinilai sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan node yang telah disusupi kepada penyerang.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang telah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif.

    Perlu diperhatikan bahwa agar penyerang mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini dengan sendirinya tidak akan membahayakan node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    GKE pada AWS GA (1.4.1, tersedia akhir Juli 2020) atau yang lebih baru menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download versi baru alat command line anthos-gke dan buat ulang cluster pengguna serta pengelolaan Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memitigasi kerentanan CVE-2020-8559. Serangan ini dinilai sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan node yang telah disusupi kepada penyerang.

    Sedang

    GCP-2020-007

    Dipublikasikan: 01-06-2020
    Referensi: CVE-2020-8555

    GKE

    Deskripsi Keseriusan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang telah diberi otorisasi untuk membocorkan hingga 500 byte informasi sensitif dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut. Sebagian besar cluster sudah menjalankan versi yang di-patch. Versi GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Cluster yang menggunakan saluran rilis sudah ada di versi bidang kontrol dengan mitigasi.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memitigasi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol.

    Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager membuat permintaan GET atau permintaan POST tanpa isi permintaan yang dikontrol penyerang dari jaringan host master. Jenis volume ini jarang digunakan di GKE, jadi penggunaan baru jenis volume ini dapat menjadi sinyal deteksi yang berguna.

    Jika digabungkan dengan cara untuk membocorkan hasil GET/POST kepada penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah mengupdate driver penyimpanan yang dipermasalahkan untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang telah diberi otorisasi untuk membocorkan hingga 500 byte informasi sensitif dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    GKE pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:

    • Anthos 1.3.0

    Jika Anda menggunakan versi sebelumnya, upgrade cluster yang ada ke versi yang berisi perbaikan.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memitigasi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol.

    Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager membuat permintaan GET atau permintaan POST tanpa isi permintaan yang dikontrol penyerang dari jaringan host master. Jenis volume ini jarang digunakan di GKE, jadi penggunaan baru jenis volume ini dapat menjadi sinyal deteksi yang berguna.

    Jika digabungkan dengan cara untuk membocorkan hasil GET/POST kepada penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah mengupdate driver penyimpanan yang dipermasalahkan untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang telah diberi otorisasi untuk membocorkan hingga 500 byte informasi sensitif dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    GKE pada AWS v0.2.0 atau yang lebih baru sudah menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download versi baru alat command line anthos-gke dan buat ulang cluster pengguna serta pengelolaan Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memitigasi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol.

    Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager membuat permintaan GET atau permintaan POST tanpa isi permintaan yang dikontrol penyerang dari jaringan host master. Jenis volume ini jarang digunakan di GKE, jadi penggunaan baru jenis volume ini dapat menjadi sinyal deteksi yang berguna.

    Jika digabungkan dengan cara untuk membocorkan hasil GET/POST kepada penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah mengupdate driver penyimpanan yang dipermasalahkan untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    GCP-2020-006

    Dipublikasikan: 01-06-2020
    Referensi: Masalah Kubernetes 91507

    GKE

    Deskripsi Keseriusan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa mengalihkan traffic node ke container lain. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Untuk mengurangi kerentanan ini, upgrade bidang kontrol, lalu node Anda ke salah satu versi yang di-patch dan tercantum di bawah ini. Cluster pada saluran rilis sudah menjalankan versi yang di-patch pada bidang kontrol dan node:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Sangat sedikit container yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui PodSecurityPolicy atau Pengontrol Kebijakan Anthos:

    Hapus kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau, dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan berikut:

    Kerentanan yang dijelaskan dalam kemampuan masalah Kubernetes 91507 CAP_NET_RAW (yang termasuk dalam kumpulan kemampuan container default) untuk mengonfigurasi stack IPv6 secara berbahaya pada node dan mengalihkan traffic node ke container yang dikontrol penyerang. Hal ini akan memungkinkan penyerang untuk menangkap/mengubah traffic yang berasal dari atau ditujukan untuk node. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa mengalihkan traffic node ke container lain. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda melakukan upgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Guna mengurangi kerentanan ini untuk GKE di VMware, upgrade cluster Anda ke versi berikut atau yang lebih baru:
    • Anthos 1.3.2

    Sangat sedikit container yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui Pengontrol Kebijakan Anthos atau dengan mengupdate spesifikasi Pod Anda:

    Hapus kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau, dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan berikut:

    Kerentanan yang dijelaskan dalam kemampuan masalah Kubernetes 91507 CAP_NET_RAW (yang termasuk dalam kumpulan kemampuan container default) untuk mengonfigurasi stack IPv6 secara berbahaya pada node dan mengalihkan traffic node ke container yang dikontrol penyerang. Hal ini akan memungkinkan penyerang untuk menangkap/mengubah traffic yang berasal dari atau ditujukan untuk node. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa mengalihkan traffic node ke container lain. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda melakukan upgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Download alat command line anthos-gke dengan versi berikut atau yang lebih baru, lalu buat ulang cluster pengguna dan pengelolaan Anda:

    • aws-0.2.1-gke.7

    Sangat sedikit container yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui Pengontrol Kebijakan Anthos atau dengan mengupdate spesifikasi Pod Anda:

    Hapus kemampuan CAP_NET_RAW dari container dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau, dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan mengupdate spesifikasi Pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan berikut:

    Kerentanan yang dijelaskan dalam kemampuan masalah Kubernetes 91507 CAP_NET_RAW (yang termasuk dalam kumpulan kemampuan container default) untuk mengonfigurasi stack IPv6 secara berbahaya pada node dan mengalihkan traffic node ke container yang dikontrol penyerang. Hal ini akan memungkinkan penyerang untuk menangkap/mengubah traffic yang berasal dari atau ditujukan untuk node. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    GCP-2020-005

    Dipublikasikan: 07-05-2020
    Diperbarui: 2020-05-07
    Referensi: CVE-2020-8835

    GKE

    Deskripsi Keseriusan

    Kerentanan baru-baru ini ditemukan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan escape container mendapatkan hak istimewa root di node host.

    Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade ke versi patch terbaru sesegera mungkin, seperti yang kami jelaskan di bawah ini.

    Node yang menjalankan Container-Optimized OS tidak akan terpengaruh. Node yang berjalan di GKE di VMware tidak terpengaruh.

    Apa yang harus saya lakukan?

    Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node yang menjalankan Ubuntu di GKE versi 1.16 atau 1.17 yang terpengaruh.

    Untuk mengupgrade node, Anda harus terlebih dahulu mengupgrade master ke versi terbaru. Patch ini akan tersedia di Kubernetes 1.16.8-gke.12, 1.17.4-gke.10, dan rilis yang lebih baru. Lacak ketersediaan beberapa patch ini di catatan rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    CVE-2020-8835 menjelaskan kerentanan dalam kernel Linux versi 5.5.0 dan yang lebih baru yang mengizinkan container berbahaya (dengan interaksi pengguna minimal dalam bentuk exec) membaca dan menulis memori kernel sehingga mendapatkan eksekusi kode level root pada node host. Kerentanan ini dinilai sebagai kerentanan keparahan 'Tinggi'.

    Tinggi

    GCP-2020-004

    Dipublikasikan: 07-05-2020
    Diperbarui: 2020-05-07
    Referensi: CVE-2019-11254

    Cluster GKE aktif

    Deskripsi Keseriusan

    Kerentanan baru-baru ini ditemukan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan setiap pengguna yang diizinkan membuat permintaan POST untuk menjalankan serangan Denial-of-Service jarak jauh pada server Kubernetes API. Komite Keamanan Produk (PSC) Kubernetes merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini.

    Anda dapat memitigasi kerentanan ini dengan membatasi klien mana yang memiliki akses jaringan ke server Kubernetes API Anda.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini segera setelah tersedia.

    Versi patch yang berisi perbaikan tercantum di bawah ini:

    • Anthos 1.3.0, yang menjalankan Kubernetes versi 1.15.7-gke.32

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut:

    CVE-2019-11254.

    Sedang

    GCP-2020-003

    Dipublikasikan: 31-03-2020
    Diperbarui: 2020-03-31
    Referensi: CVE-2019-11254

    GKE

    Deskripsi Keseriusan

    Kerentanan baru-baru ini ditemukan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan setiap pengguna yang diizinkan membuat permintaan POST untuk menjalankan serangan Denial-of-Service jarak jauh pada server Kubernetes API. Komite Keamanan Produk (PSC) Kubernetes merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini.

    Cluster GKE yang menggunakan Jaringan yang Diizinkan Master dan Cluster pribadi tanpa endpoint publik dapat mengurangi kerentanan ini.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan kerentanan ini.

    Versi patch yang berisi perbaikan tercantum di bawah ini:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut:

    CVE-2019-11254.

    Sedang

    GCP-2020-002

    Dipublikasikan: 2020-03-23
    Diperbarui: 2020-03-23
    Referensi: CVE-2020-8551, CVE-2020-8552

    GKE

    Deskripsi Keseriusan

    Kubernetes telah mengungkapkan dua kerentanan denial of service, satu memengaruhi server API, dan satu lagi memengaruhi Kubernetes. Untuk mengetahui detail selengkapnya, lihat masalah Kubernetes: 89377 dan 89378.

    Apa yang harus saya lakukan?

    Semua pengguna GKE dilindungi dari CVE-2020-8551 kecuali jika pengguna tidak tepercaya dapat mengirim permintaan dalam jaringan internal cluster. Penggunaan jaringan yang diizinkan master juga mengurangi mengurangi CVE-2020-8552.

    Kapan aset ini akan di-patch?

    Patch untuk CVE-2020-8551 memerlukan upgrade node. Versi patch yang akan berisi mitigasi tercantum di bawah:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Patch untuk CVE-2020-8552 memerlukan upgrade master. Versi patch yang akan berisi mitigasi tercantum di bawah:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Sedang

    GCP-january_21_2020

    Dipublikasikan: 21-01-2020
    Diperbarui: 2020-01-24
    Referensi: CVE-2019-11254

    GKE

    Deskripsi Keseriusan

    Update 24-01-2020: Proses pembuatan versi yang di-patch tersedia sudah berlangsung dan akan selesai pada 25 Januari 2020.


    Microsoft telah mengungkapkan kerentanan di Windows Crypto API dan validasi tanda tangan kurva eliptisnya. Untuk informasi lebih lanjut, baca pengungkapan Microsoft.

    Apa yang sebaiknya saya lakukan?

    Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node yang menjalankan Windows Server yang terpengaruh.

    Untuk pelanggan yang menggunakan node Windows Server, baik node maupun workload dalam container yang berjalan pada node tersebut harus diupdate ke versi yang di-patch untuk mengurangi kerentanan ini.

    Untuk memperbarui penampung:

    Bangun ulang container Anda menggunakan image container dasar terbaru Microsoft, dengan memilih tag servercore atau nanoserver dengan Waktu LastUpdated pada 14/1/2020 atau lebih baru.

    Untuk memperbarui node:

    Proses penyediaan versi yang di-patch tersedia sedang berlangsung dan akan selesai pada 24 Januari 2020.

    Anda dapat menunggu hingga waktu tersebut tiba dan melakukan upgrade node ke versi GKE yang di-patch atau Anda dapat menggunakan Windows Update untuk men-deploy patch Windows terbaru secara manual kapan saja.

    Versi patch yang akan berisi mitigasi tercantum di bawah ini:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    CVE-2020-0601 - Kerentanan ini juga dikenal sebagai Kerentanan Spoofing Windows Crypto API dan dapat dieksploitasi untuk membuat file berbahaya yang dapat dieksekusi tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi TLS ke software yang terpengaruh.

    Skor Dasar NVD: 8.1 (Tinggi)

    Buletin keamanan yang diarsipkan

    Untuk buletin keamanan sebelum tahun 2020, lihat Arsip buletin keamanan.