Bollettini sulla sicurezza

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina sono descritti tutti i bollettini di sicurezza relativi ai seguenti prodotti:

  • Google Kubernetes Engine (GKE)
  • Cluster Anthos su VMware (GKE On-Prem)
  • Cluster Anthos su AWS (GKE su AWS)
  • Anthos on Azure
  • Anthos clusters on bare metal

Le vulnerabilità sono spesso mantenute segrete sotto embargo finché le parti interessate non hanno avuto la possibilità di affrontarle. In questi casi, le note di rilascio del prodotto faranno riferimento a "aggiornamenti della sicurezza" fino a quando l'embargo non sarà stato revocato. A quel punto le note verranno aggiornate per riflettere la vulnerabilità affrontata dalla patch.

Quando GKE pubblica un bollettino sulla sicurezza direttamente correlato alla configurazione o alla versione del cluster, potremmo inviarti una notifica del cluster SecurityBulletinEvent che fornisce informazioni sulla vulnerabilità e sulle azioni che puoi eseguire, se applicabile. Per informazioni sulla configurazione delle notifiche del cluster, consulta Notifiche del cluster.

Per ulteriori informazioni su come Google gestisce le vulnerabilità e le patch di sicurezza per GKE e Anthos, consulta il aggiornamento delle patch di sicurezza.

Le piattaforme GKE e Anthos non utilizzano componenti quali ingress-nginx e il runtime dei container CRI-O e non sono interessate da vulnerabilità in questi componenti. Se installi i componenti da altre origini, fai riferimento agli aggiornamenti della sicurezza e alle indicazioni di applicazione di patch dei componenti in questione.

Utilizza questo feed XML per iscriverti ai bollettini di sicurezza per questa pagina. Iscriviti

GCP-2022-018

Pubblicato: 1/08/2022
Ultimo aggiornamento: 14/09/2022
Riferimento: CVE-2022-2327

Aggiornamento 14/09/2022: sono state aggiunte versioni di patch per i cluster Anthos su VMware, i cluster Anthos su AWS e Anthos su Azure.

GKE

Descrizione Gravità

Nel kernel Linux è stata rilevata una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un attacco completo del container per eseguire il root nel nodo.

Dettagli tecnici

Sono interessati i cluster GKE, inclusi quelli Autopilot, con Container-Optimized OS (COS) che utilizzano Linux Kernel versione 5.10. I cluster GKE che utilizzano immagini Ubuntu o utilizzando GKE Sandbox non sono interessati.

Che cosa devo fare?

Esegui l'upgrade dei cluster GKE a una versione che includa la correzione. Le immagini dei nodi Linux per COS sono state aggiornate insieme alle versioni di GKE utilizzando tali versioni COS.

Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

Versioni COS

  • 1.22.12-gke.300
  • 1.23.8-gke.1900
  • 1.24.2-gke.1900


Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che la versione diventi quella predefinita nel canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2327, il kernel Linux nella versione 5.10 ha una vulnerabilità nel sottosistema io_uring in cui varie richieste mancano tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi.
Alte

Anthos clusters on VMware

Ultimo aggiornamento: 14-09-2022

Descrizione Gravità

Nel kernel Linux è stata rilevata una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un attacco completo del container per eseguire il root nel nodo.

Sono interessati i cluster con un'immagine COS (Container Optimized OS) che utilizza i cluster Anthos sulle versioni VMware 1.10, 1.11 e 1.12.

Che cosa devo fare?

Aggiornamento 14-09-2022: le seguenti versioni di cluster Anthos su VMware contengono codice che corregge questa vulnerabilità.

  • 1.10.6 o versioni successive
  • 1.11.3 o versioni successive
  • 1.12.1 o versioni successive

A breve saranno disponibili versioni di cluster Anthos su VMware che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di Cluster Anthos su VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui varie richieste mancano di tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi.

Alte

Anthos clusters on AWS

Ultimo aggiornamento: 14-09-2022

Descrizione Gravità

Nel kernel Linux è stata rilevata una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un attacco completo del container per eseguire il root nel nodo.

Che cosa devo fare?

Aggiornamento 14-09-2022: le seguenti versioni di generazione attuale e precedente dei cluster Anthos su AWS sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti cluster Anthos sulle versioni AWS:

Generazione attuale

  • 1.23.8-gke.1700
  • 1.22.12-gke.200
  • 1.21.14-gke.2100

Generazione precedente

  • 1.23.8-gke.2000
  • 1.22.12-gke.300
  • 1.21.14-gke.2100

Le versioni di cluster Anthos su AWS che contengono patch verranno rilasciate a breve. Questo bollettino sulla sicurezza verrà aggiornato quando i cluster Anthos sulle versioni AWS saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui varie richieste mancano di tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi.

Alte

Anthos on Azure

Ultimo aggiornamento: 14-09-2022

Descrizione Gravità

Nel kernel Linux è stata rilevata una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un attacco completo del container per eseguire il root nel nodo.

Che cosa devo fare?

Aggiornamento 14-09-2022: le seguenti versioni di Anthos su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di Anthos su Azure:

  • 1.23.8-gke.1700
  • 1.22.12-gke.200
  • 1.21.14-gke.2100

Le versioni di Anthos su Azure che contengono patch verranno rilasciate a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di Anthos su Azure saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui varie richieste mancano di tipi di elementi (flag). L'utilizzo di queste richieste senza i tipi di elementi appropriati può causare l'escalation dei privilegi.

Alte

Anthos on bare metal

Descrizione Gravità

Nel kernel Linux è stata rilevata una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un attacco completo del container per eseguire il root nel nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Anthos su Bare Metal non è interessato da questo CVE perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2022-017

Pubblicato: 29-06-2022
Ultimo aggiornamento: 21-07-2022
Riferimento: CVE-2022-1786

Aggiornamento 21-07-2022: vengono aggiornate le informazioni relative ai cluster Anthos sulle immagini VMware COS.

GKE

Descrizione Gravità

Una nuova vulnerabilità (CVE-2022-1786) è stata rilevata nelle versioni del kernel Linux 5.10 e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per Container-Optimized OS per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE imminenti:

  • 1.22.10-gke.600
  • 1.23.7-gke.1400
  • 1.24.1-gke.1400

Una recente funzionalità dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che la versione diventi quella predefinita nel canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-1786 è stato rilevato un difetto "use-after-free" nel sottosistema io_uring del kernel Linux. Se un utente configura un anello con IORING_SETUP_IOPOLL con più attività che completano l'invio sull'anello, l'utente locale può eseguire l'arresto anomalo o riassegnare i propri privilegi al sistema.

Alte

Anthos clusters on VMware

Ultimo aggiornamento: 14-07-2022

Descrizione Gravità

Una nuova vulnerabilità (CVE-2022-1786) è stata rilevata nelle versioni del kernel Linux 5.10 e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo.

Che cosa devo fare?

Aggiornamento 21-07-2022: le seguenti versioni di cluster Anthos su VMware contengono codice che corregge questa vulnerabilità.

COS
  • 1.10.5 o versioni successive
  • 1.11.2 o versioni successive
  • 1.12.0 o versioni successive

Ubuntu

Non sono necessarie ulteriori azioni. I cluster Anthos su VMware non utilizzano le versioni interessate del kernel Linux.

Nessuno

Anthos clusters on AWS

Descrizione Gravità

Una nuova vulnerabilità (CVE-2022-1786) è stata rilevata nelle versioni del kernel Linux 5.10 e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. I cluster Anthos su AWS non utilizzano le versioni interessate del kernel Linux.

Nessuno

Anthos on Azure

Descrizione Gravità

Una nuova vulnerabilità (CVE-2022-1786) è stata rilevata nelle versioni del kernel Linux 5.10 e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Anthos su Azure non utilizza le versioni interessate del kernel Linux.

Nessuno

Anthos on bare metal

Descrizione Gravità

Una nuova vulnerabilità (CVE-2022-1786) è stata rilevata nelle versioni del kernel Linux 5.10 e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Anthos su Bare Metal non è interessato da questo CVE perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2022-016

Pubblicata: 23-06-2022
Ultimo aggiornamento: 29-07-2022
Riferimento: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116

Aggiornamento 29-07-2022: Versioni aggiornate per i cluster Anthos su VMware, i cluster Anthos su AWS e Anthos su Azure.

GKE

Ultimo aggiornamento: 29-07-2022

Descrizione Gravità

Aggiornamento 29-07-2022: i pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità.


Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu).

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux sia per Container-Optimized OS che per Ubuntu per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:

  • Container-Optimized OS:
    • 1.19.16-gke.13800
    • 1.20.15-gke.8000
    • 1.21.12-gke.1500
    • 1.22.9-gke.1300
    • 1.23.6-gke.1500
    • 1.24.1-gke.1400
  • Ubuntu:
    • 1.20.15-gke.9600
    • 1.21.13-gke.900
    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

Una recente funzionalità dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che la versione diventi quella predefinita nel canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux in versioni precedenti alla 5.17.3 ha un utilizzo "after-free" a causa di una condizione di race nei timeout di runtime.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un utente malintenzionato locale può causare il danneggiamento della memoria in io_ursing o net/sching nel kernel Linux per riassegnare i privilegi al root.

Alte

Anthos clusters on VMware

Ultimo aggiornamento: 29-07-2022

Descrizione Gravità

Aggiornamento 29-07-2022: le seguenti versioni di cluster Anthos su VMware contengono codice che corregge queste vulnerabilità.

  • 1.9.7 o versioni successive
  • 1.10.5 o versioni successive
  • 1.11.2 o versioni successive
  • 1.12.0 o versioni successive


Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo. Queste vulnerabilità interessano i cluster Anthos su VMware v1.9 e versioni successive per le immagini Container-Optimized OS e Ubuntu.

Che cosa devo fare?

A breve saranno disponibili versioni di cluster Anthos su VMware che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni dei cluster Anthos su VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux in versioni precedenti alla 5.17.3 ha un utilizzo "after-free" a causa di una condizione di race nei timeout di runtime.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un utente malintenzionato locale può causare il danneggiamento della memoria in io_ursing o net/sching nel kernel Linux per riassegnare i privilegi al root.

Alte

Anthos clusters on AWS

Ultimo aggiornamento: 29-07-2022

Descrizione Gravità

Aggiornamento 29-07-2022: Aggiornamento: le seguenti versioni di generazione attuale e precedente dei cluster Anthos su AWS sono state aggiornate con codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti cluster Anthos sulle versioni AWS:

Generazione attuale:

  • 1.23.7-gke.1300
  • 1.22.10-gke.1500
  • 1.21.11-gke.1900
Generazione precedente:
  • 1.23.7-gke.1500
  • 1.22.10-gke.1500
  • 1.21.13-gke.1600

Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo. Queste vulnerabilità interessano tutte le versioni di cluster Anthos su AWS.

Che cosa devo fare?

Le versioni di cluster Anthos su AWS che contengono patch verranno rilasciate a breve. Questo bollettino sulla sicurezza verrà aggiornato quando i cluster Anthos sulle versioni AWS saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux in versioni precedenti alla 5.17.3 ha un utilizzo "after-free" a causa di una condizione di race nei timeout di runtime.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un utente malintenzionato locale può causare il danneggiamento della memoria in io_ursing o net/sching nel kernel Linux per riassegnare i privilegi al root.

Alte

Anthos on Azure

Descrizione Gravità

Aggiornamento 29-07-2022: Aggiornamento: le seguenti versioni di Anthos su Azure sono state aggiornate con un codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di Anthos su Azure:

  • 1.23.7-gke.1300
  • 1.22.10-gke.1500
  • 1.21.11-gke.1900


Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo. Queste vulnerabilità interessano tutte le versioni di Anthos su Azure.

Che cosa devo fare?

Le versioni di Anthos su Azure che contengono patch verranno rilasciate a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di Anthos su Azure saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux in versioni precedenti alla 5.17.3 ha un utilizzo "after-free" a causa di una condizione di race nei timeout di runtime.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un utente malintenzionato locale può causare il danneggiamento della memoria in io_ursing o net/sching nel kernel Linux per riassegnare i privilegi al root.

Alte

Anthos on bare metal

Descrizione Gravità

Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Anthos su Bare Metal non è interessato da questa vulnerabilità perché non raggruppa un sistema operativo nella sua distribuzione.

Nessuno

GCP-2022-014

Data di pubblicazione: 26-04-2022
Aggiornamento: 12-05-2022

Aggiornamento 2022-05-12: Versioni patch aggiornate per i cluster Anthos su AWS e Anthos su Azure.

Riferimento: CVE-2022-1055, CVE-2022-27666

GKE

Descrizione Gravità

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può portare un utente malintenzionato locale a eseguire un'interruzione del container, un'escalation dei privilegi sull'host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare il parametro free-after-free in tc_new_tfilter(), che permette a un utente malintenzionato locale nel container di riassegnare i privilegi al root sul nodo.

In CVE-2022-27666, il buffer overflow in esp/esp6_output_head consente a un utente malintenzionato locale nel container di riassegnare i privilegi al root del nodo.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE:

  • 1.19.16-gke.11000 e versioni successive
  • 1.20.15-gke.5200 e versioni successive
  • 1.21.11-gke.1100 e versioni successive
  • 1.22.8-gke.200 e versioni successive
  • 1.23.5-gke.1500 e versioni successive

Quali vulnerabilità vengono affrontate da questa patch?

Alte

Anthos clusters on VMware

Descrizione Gravità

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può portare un utente malintenzionato locale a eseguire un'interruzione del container, un'escalation dei privilegi sull'host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare il parametro free-after-free in tc_new_tfilter(), che permette a un utente malintenzionato locale nel container di riassegnare i privilegi al root sul nodo.

In CVE-2022-27666, il buffer overflow in esp/esp6_output_head consente a un utente malintenzionato locale nel container di riassegnare i privilegi al root del nodo.

Che cosa devo fare?

Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di Cluster Anthos su VMware o versioni successive contengono la correzione di questa vulnerabilità:

  • 1.9.6 (imminente)
  • 1,10,3
  • 1.11.0 (prossimo)

Quali vulnerabilità vengono affrontate da questa patch?

Alte

Anthos clusters on AWS

Ultimo aggiornamento: 12-05-2022

Descrizione Gravità

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può portare un utente malintenzionato locale a eseguire un'interruzione del container, un'escalation dei privilegi sull'host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare il parametro free-after-free in tc_new_tfilter(), che permette a un utente malintenzionato locale nel container di riassegnare i privilegi al root sul nodo.

In CVE-2022-27666, il buffer overflow in esp/esp6_output_head consente a un utente malintenzionato locale nel container di riassegnare i privilegi al root del nodo.

Che cosa devo fare?

Aggiornamento 12-05-2022: le seguenti versioni di generazione attuale e precedente dei cluster Anthos su AWS sono state aggiornate con codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti cluster Anthos sulle versioni AWS:

Generazione attuale
  • 1.21.11-gke.1100
  • 1.22.8-gke.1300
Generazione precedente
  • 1.20.15-gke.5200
  • 1.21.11-gke.1100
  • 1.22.8-gke.1300

Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando sarà disponibile.

Quali vulnerabilità vengono affrontate da questa patch?

Alte

Anthos on Azure

Ultimo aggiornamento: 12-05-2022

Descrizione Gravità

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può portare un utente malintenzionato locale a eseguire un'interruzione del container, un'escalation dei privilegi sull'host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare il parametro free-after-free in tc_new_tfilter(), che permette a un utente malintenzionato locale nel container di riassegnare i privilegi al root sul nodo.

In CVE-2022-27666, il buffer overflow in esp/esp6_output_head consente a un utente malintenzionato locale nel container di riassegnare i privilegi al root del nodo.

Che cosa devo fare?

Aggiornamento 12-05-2022: le seguenti versioni di Anthos su Azure sono state aggiornate con un codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di Anthos su Azure:

  • 1.21.11-gke.1100
  • 1.22.8-gke.1300

Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando sarà disponibile.

Quali vulnerabilità vengono affrontate da questa patch?

Alte

Anthos on bare metal

Descrizione Gravità

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può portare un utente malintenzionato locale a eseguire un'interruzione del container, un'escalation dei privilegi sull'host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare il parametro free-after-free in tc_new_tfilter(), che permette a un utente malintenzionato locale nel container di riassegnare i privilegi al root sul nodo.

In CVE-2022-27666, il buffer overflow in esp/esp6_output_head consente a un utente malintenzionato locale nel container di riassegnare i privilegi al root del nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Anthos su Bare Metal non è interessato da questo CVE perché non include Linux come parte del suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi siano aggiornate alle versioni che contengono la correzione per CVE-2022-1055 e CVE-2022-27666.

Quali vulnerabilità vengono affrontate da questa patch?

Alte

GCP-2022-013

Pubblicata: 11-04-2022
Ultimo aggiornamento: 2022-04-20
Riferimento: CVE-2022-23648
Aggiornamento 22-04-2022: versioni aggiornate della patch per Anthos su cluster bare metal e Anthos su VMware.

GKE

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-23648 nella gestione dell'attraversamento del percorso di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite un'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

Questa vulnerabilità può ignorare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu) che utilizzano containerd per impostazione predefinita. Sono interessati tutti i nodi GKE, Autopilot e GKE Sandbox.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei nodi a una delle seguenti versioni di GKE:

  • 1.19.16-gke.9400
  • 1.20.15-gke.3600
  • 1.21.10-gke.1500
  • 1.22.7-gke.1500
  • 1.23.4-gke.1500

Una recente funzionalità dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico.

Media

Anthos clusters on VMware

Ultimo aggiornamento: 22-04-2022

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-23648 nella gestione dell'attraversamento del percorso di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite un'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

Questa vulnerabilità può ignorare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i cluster Anthos su VMware con stackdriver abilitato, che utilizza containerd. I cluster Anthos su VMware versioni 1.8, 1.9 e 1.10 sono interessati

Che cosa devo fare?

Aggiornamento 22-04-2022: le seguenti versioni di cluster Anthos su VMware contengono codice che corregge questa vulnerabilità.

  • 1.9.5 o versioni successive
  • 1.10.3 o versioni successive
  • 1.11.0 o versioni successive

Le seguenti versioni di Cluster Anthos su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di Cluster Anthos su VMware:

  • 1.8.8 o versioni successive
  • 1.9.5 o versioni successive
  • 1.10.2 o versioni successive

Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true.

Media

Anthos clusters on AWS

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-23648 nella gestione dell'attraversamento del percorso di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite un'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

Questa vulnerabilità può ignorare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessati tutti i cluster Anthos sulle versioni AWS.

Che cosa devo fare?

Le seguenti versioni di cluster Anthos su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti cluster Anthos sulle versioni AWS.

Cluster Anthos su AWS (generazione attuale)
  • Versione 1.22: 1.22.8-gke.200
  • Versione 1.21: 1.21.11-gke.100
Cluster Anthos su AWS (generazione precedente)
  • Versione 1.22: 1.22.8-gke.300
  • Versione 1.21: 1.21.11-gke.100
  • Versione 1.20: 1.20.15-gke.2200

Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true.

Media

Anthos on Azure

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-23648 nella gestione dell'attraversamento del percorso di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite un'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

Questa vulnerabilità può ignorare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessate tutte le versioni di Anthos su Azure.

Che cosa devo fare?

Le seguenti versioni di Anthos su Azure sono state aggiornate con un codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi come segue:

  • Versione 1.22: 1.22.8-gke.200
  • Versione 1.21: 1.21.11-gke.100

Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true.

Media

Anthos on bare metal

Ultimo aggiornamento: 22-04-2022

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-23648 nella gestione dell'attraversamento del percorso di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite un'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host.

Questa vulnerabilità può ignorare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i prodotti Anthos su Bare Metal che utilizzano containerd. Le versioni Anthos su Bare Metal 1.8, 1.9 e 1.10 sono interessate

Che cosa devo fare?

Aggiornamento 22-04-2022: le seguenti versioni di Anthos su Bare Metal contengono codice che corregge questa vulnerabilità.

  • 1.8.9 o versioni successive
  • 1.9.6 o versioni successive
  • 1.10.3 o versioni successive
  • 1.11.0 o versioni successive

Le seguenti versioni di Anthos su Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di Anthos su Bare Metal:

  • 1.8.8 o versioni successive
  • 1.9.5 o versioni successive
  • 1.10.2 o versioni successive

Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true.

Media

GCP-2022-012

Pubblicato: 07-04-2022
Riferimento: CVE-2022-0847

GKE

Descrizione Gravità

Una vulnerabilità di sicurezza, CVE-2022-0847, è stata rilevata nel kernel Linux versione 5.8 e successive che può potenzialmente riassegnare i privilegi dei container al root. Questa vulnerabilità influisce su tutte le versioni del pool di nodi GKE v1.22 e successive che utilizzano immagini di Container-Optimized OS (Container-Optimized OS 93 e versioni successive). I pool di nodi GKE che utilizzano il sistema operativo Ubuntu non sono interessati.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:

  • 1.22.7-gke.1500 e versioni successive
  • 1.23.4-gke.1600 e versioni successive

Una funzionalità recente dei canali di rilascio consente di applicare una versione patch di altri canali di rilascio senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale specifico.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il "flags" membro della nuova struttura di buffer di pipeline non aveva un'inizializzazione corretta nel kernel Linux. Un utente malintenzionato locale non autorizzato può utilizzare questo difetto per scrivere le pagine nella cache delle pagine supportate da file di sola lettura e riassegnare i propri privilegi.

Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate del pool di nodi di GKE.

Alte

Anthos clusters on VMware

Descrizione Gravità

Una vulnerabilità di sicurezza, CVE-2022-0847, è stata rilevata nel kernel Linux versione 5.8 e successive che può potenzialmente riassegnare i privilegi al root. Questa vulnerabilità interessa i cluster Anthos su VMware v1.10 per le immagini del sistema operativo ottimizzato per i container. Attualmente, i cluster Anthos su VMware con Ubuntu utilizzano la versione kernel 5.4 e non sono vulnerabili a questo attacco.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni dei cluster Anthos su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei tuoi cluster di amministrazione e utente alla seguente versione di Cluster Anthos su VMware:

  • 1,10,3

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il "flags" membro della nuova struttura di buffer di pipeline non aveva un'inizializzazione corretta nel kernel Linux. Un utente malintenzionato locale non autorizzato può utilizzare questo difetto per scrivere le pagine nella cache delle pagine supportate da file di sola lettura e riassegnare i propri privilegi.

Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate dei cluster Anthos su VMware.

Alte

Anthos clusters on AWS

Descrizione Gravità

Una vulnerabilità di sicurezza, CVE-2022-0847, è stata rilevata nel kernel Linux versione 5.8 e successive che può potenzialmente riassegnare i privilegi al root.

Questa vulnerabilità interessa i cluster gestiti di cluster Anthos su AWS v1.21 e i cluster in esecuzione su cluster Anthos su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni dei cluster Anthos su AWS sono state aggiornate con il codice per correggere questa vulnerabilità.

Per i cluster Anthos gestiti su AWS, ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi a una delle seguenti versioni:

  • 1.21.11-gke.100

Per i cluster Anthos k-lite su AWS, ti consigliamo di eseguire l'upgrade degli oggetti AWSManagementService, AWSCluster e AWSNodePool alla seguente versione:

  • 1.21.11-gke.100
  • 1.20.15-gke.2200

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il "flags" membro della nuova struttura di buffer di pipeline non aveva un'inizializzazione corretta nel kernel Linux. Un utente malintenzionato locale non autorizzato può utilizzare questo difetto per scrivere le pagine nella cache delle pagine supportate da file di sola lettura e riassegnare i propri privilegi.

Alte

Anthos on Azure

Descrizione Gravità

Una vulnerabilità di sicurezza, CVE-2022-0847, è stata rilevata nel kernel Linux versione 5.8 e successive che può potenzialmente riassegnare i privilegi al root. Questa vulnerabilità interessa i cluster gestiti di Anthos su Azure v1.21, che utilizzano Ubuntu.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di Anthos su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi alla versione seguente:

  • 1.21.11-gke.100

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il "flags" membro della nuova struttura di buffer di pipeline non aveva un'inizializzazione corretta nel kernel Linux. Un utente malintenzionato locale non autorizzato può utilizzare questo difetto per scrivere le pagine nella cache delle pagine supportate da file di sola lettura e riassegnare i propri privilegi.

Alte

Anthos on bare metal

Descrizione Gravità

Una vulnerabilità di sicurezza, CVE-2022-0847, è stata rilevata nel kernel Linux versione 5.8 e successive che può potenzialmente riassegnare i privilegi al root.

Che cosa devo fare?

Non è richiesto alcun intervento. Anthos su Bare Metal non è interessato da questo CVE perché non include Linux come parte del suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi siano aggiornate alle versioni che contengono la correzione per CVE-2022-0847.

Alte

GCP-2022-011

Data di pubblicazione: 22-03-2022
Ultimo aggiornamento: 11-08-2022

Aggiornamento 11-08-2022: sono stati aggiunti ulteriori dettagli sugli effetti della configurazione errata SMT.

GKE

Descrizione Gravità

Aggiornamento 2022-08-11: sono state aggiunte ulteriori informazioni sulla configurazione multi-threading (SMT) simultaneo. La funzionalità SMT era disattivata, ma era abilitata nelle versioni elencate.

Se hai abilitato manualmente SMT per un pool di nodi con limitazione tramite sandbox, SMT rimarrà abilitato manualmente nonostante il problema.


Si è verificato un errore di configurazione con il multi-threading (SMT) simultaneo, noto anche come iper-threading, nelle immagini di GKE Sandbox. L'errore di configurazione comporta la presenza di nodi potenzialmente esposti ad attacchi ai canali secondari, ad esempio Microarchitectural Data Sampling (VMS). Per saperne di più, consulta la documentazione di GKE Sandbox. Sconsigliamo di utilizzare le seguenti versioni interessate:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Se hai attivato manualmente SMT per un pool di nodi, questo problema non interessa i nodi con sandbox.

Che cosa devo fare?

Esegui l'upgrade dei nodi a una delle seguenti versioni:

  • 1.22.6-gke.1500 e versioni successive
  • 1.23.3-gke.1100 e versioni successive

Quale vulnerabilità viene affrontata da questa patch?

Nei nodi GKE Sandbox, la SMT è disabilitata per impostazione predefinita, mitigando gli attacchi al canale secondario.

Media

GCP 2022-009

Data di pubblicazione: 01-03-2022
Ultimo aggiornamento: 15-03-2022

GKE

Descrizione Gravità

Aggiornamento del 15/03/2022: sono state aggiunte le guide per la protezione dei cluster Anthos su AWS (GKE su AWS) e Anthos su Azure. È stata aggiunta una sezione sulla persistenza tramite webhook.


Alcuni percorsi imprevisti per accedere alla VM del nodo nei cluster GKE Autopilot potrebbero essere stati utilizzati per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program.

Gli utenti di cluster GKE Standard e Anthos possono facoltativamente applicare un criterio di protezione simile a quello descritto di seguito.

Dettagli tecnici

Accesso host tramite esenzioni dai criteri di terze parti

Per consentire a Google Cloud di offrire la gestione completa dei nodi e uno SLA a livello di pod, GKE Autopilot limita alcune primitive Kubernetes con privilegi elevati per limitare i carichi di lavoro dall'accesso di basso livello alla VM del nodo. Per contestualizzare questo concetto: GKE Standard offre l'accesso completo al computing sottostante, Autopilot offre un accesso limitato e Cloud Run non ne ha alcuno.

Autopilot riduce alcune di queste restrizioni per creare un elenco predefinito di strumenti di terze parti per consentire ai clienti di eseguire tali strumenti su Autopilot senza modifiche. Utilizzando i privilegi per creare pod con montaggi di percorsi host, il ricercatore è stato in grado di eseguire un container con privilegi in un pod simile a uno di questi strumenti di terze parti inclusi nella lista consentita per ottenere l'accesso all'host.

La capacità di pianificare i pod in questo modo è prevista su GKE Standard, ma non su GKE Autopilot, poiché ha ignorato le limitazioni di accesso dell'host utilizzate per abilitare lo SLA descritto in precedenza.

Questo problema è stato risolto stringendo la specifica del pod per le schede di terze parti.

Riassegnazione dei privilegi dal nodo radice

Oltre all'accesso host, i pod stackdriver-metadata-agent-cluster-level e metrics-server sono stati identificati come altamente privilegiati. Dopo aver ottenuto l'accesso a livello di nodo al nodo, questi servizi possono essere utilizzati per ottenere un ulteriore controllo sul cluster.

Abbiamo deprecato e rimosso stackdriver-metadata-agent per GKE Standard e Autopilot. Questo componente è ancora in uso nei cluster Anthos su VMware e Anthos su Bare Metal.

Come misura di protezione del sistema per prevenire questo tipo di attacco in futuro, applicheremo un vincolo di Autopilot a una release futura che impedisce gli aggiornamenti all'account di servizio di vari oggetti nello spazio dei nomi kube-system. Abbiamo sviluppato un criterio Keeper per applicare una protezione simile ai cluster GKE standard e ai cluster Anthos per impedire l'automodifica dei carichi di lavoro con privilegi. Questo criterio viene applicato automaticamente per i cluster Autopilot. Per istruzioni, consulta le seguenti guide per la protezione:


Addition 2022-03-15: La persistenza con i webhook mutanti

I webhook di modifica sono stati utilizzati nel report per stabilire un punto di vista privilegiato nel cluster dopo la compromissione. Queste sono parti standard dell'API Kubernetes create dagli amministratori del cluster e sono state rese visibili agli amministratori quando Autopilot ha aggiunto il supporto per i webhook definiti dal cliente.


Account di servizio con privilegi nello spazio dei nomi predefinito

Gli utenti che hanno eseguito l'applicazione dei criteri di Autopilot in precedenza hanno incluso nella lista consentita due account di servizio nello spazio dei nomi predefinito: csi-attacher e otelsvc per concedere agli account di servizio privilegi speciali. Un utente malintenzionato con privilegi elevati, incluse le autorizzazioni per la creazione di oggetti ClusterRoleBinding e con accesso per la creazione di pod nello spazio dei nomi predefinito, potrebbe utilizzare i nomi di questi account di servizio per accedere a tali privilegi aggiuntivi. Questi servizi sono stati spostati nello spazio dei nomi kube-system per proteggere i criteri Autopilot esistenti. I cluster GKE Standard e i cluster Anthos non sono interessati.

Che cosa devo fare?

I criteri di tutti i cluster GKE Autopilot sono stati aggiornati per rimuovere l'accesso host imprevisto e non sono richieste ulteriori azioni.

Nelle prossime settimane verrà applicata un'ulteriore protezione dei criteri ad Autopilot come protezione secondaria. Non è richiesta alcuna azione da parte tua.

I cluster GKE Standard e i cluster Anthos non sono interessati perché gli utenti hanno già accesso all'host. Come misura di protezione del sistema, gli utenti dei cluster GKE Standard e di Anthos possono applicare una protezione analoga con un criterio Keeper che impedisce l'automodifica dei carichi di lavoro con privilegi. Per istruzioni, consulta le seguenti guide per la protezione:

Ridotta

GCP-2022-008

Pubblicata: 23-02-2022
Ultimo aggiornamento: 28-04-2022
Riferimento: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-202-1-201-23-1-2}212-1-2}1-2}2-1-2}1-2}

GKE

Descrizione Gravità
Il progetto Envoy ha recentemente rilevato un set di vulnerabilità, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-12-12-1112
Tutti i problemi elencati di seguito sono stati risolti nella versione 1.21.1 di Envoy.
Informazioni tecniche
Ulteriori dettagli su queste vulnerabilità sono disponibili
qui.

Che cosa devo fare?

I cluster GKE che eseguono Anthos Service Mesh devono eseguire l'upgrade a una versione supportata con soluzione per le vulnerabilità di cui sopra
  • Se utilizzi Anthos Service Mesh 1.12, esegui l'upgrade a v1.12.4-asm.0.
  • Se utilizzi Anthos Service Mesh 1.11, esegui l'upgrade alla versione v1.11.7-asm.1.
  • Se utilizzi Anthos Service Mesh 1.10, esegui l'upgrade alla versione v1.10.6-asm.1.
Se utilizzi Anthos Service Mesh v1.9 o versioni precedenti, la tua release ha raggiunto la fine del ciclo di vita e non è più supportata. Queste correzioni CVE non sono state supportate. Dovresti eseguire l'upgrade ad ASM 1.10 o versioni successive.

I cluster GKE che eseguono Istio-on-GKE devono eseguire l'upgrade a una versione supportata con correzione alle vulnerabilità sopra riportate
  • Se utilizzi Istio-on-GKE 1.6, esegui l'upgrade a v1.6.14-gke.8.
  • Se utilizzi Istio-on-GKE 1.4.11, esegui l'upgrade a v1.4.11-gke.4.
  • Se utilizzi Istio 1.4.10, esegui l'upgrade a v1.4.10-gke.23.
  • Se utilizzi GKE 1.22 o versioni successive, utilizza Istio GKE 1.4.10. In caso contrario, utilizza Istio-on-GKE 1.4.11.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-216541
Alte

Anthos clusters on VMware

Ultimo aggiornamento: 28-04-2022

Descrizione Gravità
Envoy ha rilasciato di recente diverse correzioni delle vulnerabilità di sicurezza. I cluster Anthos su VMware sono interessati perché Envoy viene utilizzato con Metrics-Server. Di seguito sono elencati i CVE di Envoy che stiamo risolvendo. Aggiorneremo questo bollettino con versioni specifiche quando saranno disponibili:
  • CVE-2021-43824 (punteggio CVSS 6.5, Medio): potenziale riferimento al suggerimento null quando si utilizza il filtro JWT con corrispondenza safe_regex.
    Nota: sebbene ASM/Istio-on-GKE non supportino i filtri Envoy, potresti utilizzare questa espressione se utilizzi l'espressione regolare dei filtri JWT.
  • CVE-2021-43825 (punteggio CVSS 6.1, Medio): utilizzo "Dopo lo zero" quando i filtri di risposta aumentano i dati di risposta e i dati superano i limiti di buffer downstream.
    Nota: nonostante ASM/Istio-on-GKE non supporti i filtri Envoy, potresti utilizzare un filtro di decompressione se utilizzi un filtro di decompressione.
  • CVE-2021-43826 (punteggio CVSS 6.1, medio): utilizzo senza interruzioni durante il tunneling TCP su HTTP, in caso di disconnessione a valle durante la connessione a monte.
    Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, potresti utilizzare un filtro di tunneling.
  • CVE-2022-21654 (punteggio CVSS 7.3, elevato): una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
    Nota: tutti i servizi ASM/Istio-on-GKE che utilizzano mTLS sono interessati da questo CVE.
  • CVE-2022-21655 (punteggio CVSS 7.5, alto): gestione errata dei reindirizzamenti interni a route con voce di risposta diretta.
    Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, potresti utilizzare questo filtro se utilizzi un filtro a risposta diretta.
  • CVE-2022-23606 (punteggio CVSS 4.4, Medio): esaurimento dello stack quando un cluster viene eliminato tramite il servizio Cluster Discovery.
    Nota: questo CVE è interessato da ASM 1.11 e versioni successive. ASM 1.10 e All Istio-on-GKE non sono interessati da questo CVE.
  • CVE-2022-21657 (punteggio CVSS 3.1, basso): Envoy fino alla 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa dell'esclusione di utilizzi estesi della chiave e di attendibilità X.509.
  • CVE-2022-21656 (punteggio CVSS 3.1, basso): Envoy fino alla 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa dell'esclusione di X.509 subjectAltName (e nameConstraints).

Istio ha rilasciato di recente una correzione per la vulnerabilità della sicurezza. Anthos su VMware è interessato perché Istio viene utilizzato per il traffico in entrata. Di seguito sono elencati i CVE di Istio che stiamo correggendo. Aggiorneremo questo bollettino con versioni specifiche quando saranno disponibili:

CVE-2022-23635 (punteggio CVSS 7.5, alto): Istio si arresta in modo anomalo quando riceve le richieste con un'intestazione "autorizzazione" appositamente creata.


Per le descrizioni complete e gli impatti dei CVE riportati sopra, consulta i bollettini sulla sicurezza.

Aggiunta del 28/04/2022: cosa devo fare?

Le seguenti versioni di Cluster Anthos su VMware risolvono queste vulnerabilità:

  • 1,9,5
  • 1,10,3
  • 1,11,0

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-216541
Alte

Anthos on bare metal

Descrizione Gravità
Envoy ha rilasciato di recente diverse correzioni delle vulnerabilità di sicurezza. Anthos su Bare Metal è interessato perché Envoy viene utilizzato per Metrics-Server. Di seguito sono riportati i CVE Envoy che stiamo correggendo nelle versioni 1.10.3, 1.9.6 e 1.8.9:
  • CVE-2021-43824 (punteggio CVSS 6.5, Medio): potenziale riferimento al suggerimento null quando si utilizza il filtro JWT con corrispondenza safe_regex.
    Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, potresti utilizzare questa espressione di filtro JWT.
  • CVE-2021-43825 (punteggio CVSS 6.1, Medio): utilizzo "Dopo lo zero" quando i filtri di risposta aumentano i dati di risposta e i dati superano i limiti di buffer downstream.
    Nota: nonostante ASM/Istio-on-GKE non supporti i filtri Envoy, potresti utilizzare un filtro di decompressione se utilizzi un filtro di decompressione.
  • CVE-2021-43826 (punteggio CVSS 6.1, medio): utilizzo senza interruzioni durante il tunneling TCP su HTTP, in caso di disconnessione a valle durante la connessione a monte.
    Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, potresti utilizzare un filtro di tunneling.
  • CVE-2022-21654 (punteggio CVSS 7.3, elevato): una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
    Nota: tutti i servizi ASM/Istio-on-GKE che utilizzano mTLS sono interessati da questo CVE.
  • CVE-2022-21655 (punteggio CVSS 7.5, alto): gestione errata dei reindirizzamenti interni a route con voce di risposta diretta.
    Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, potresti utilizzare questo filtro se utilizzi un filtro a risposta diretta.
  • CVE-2022-23606 (punteggio CVSS 4.4, Medio): esaurimento dello stack quando un cluster viene eliminato tramite il servizio Cluster Discovery.
    Nota: questo CVE è interessato da ASM 1.11 e versioni successive. ASM 1.10 e All Istio-on-GKE non sono interessati da questo CVE.
  • CVE-2022-21657 (punteggio CVSS 3.1, basso): Envoy fino alla 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa dell'esclusione di utilizzi estesi della chiave e di attendibilità X.509.
  • CVE-2022-21656 (punteggio CVSS 3.1, basso): Envoy fino alla 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa dell'esclusione di X.509 subjectAltName (e nameConstraints).
Istio ha rilasciato di recente una correzione della vulnerabilità di sicurezza. Anthos su Bare Metal è interessato perché Istio viene utilizzato per il traffico in entrata. Il CVE di Istio che stiamo correggendo nelle versioni 1.10.3, 1.9.6 e 1.8.9 è elencato di seguito:

  • CVE-2022-23635 (punteggio CVSS 7.5, alto): Istio si arresta in modo anomalo quando riceve le richieste con un'intestazione "autorizzazione" appositamente creata.
    Nota: tutti i provider ASM/Istio-on-GKE sono interessati da questo CVE.

Per le descrizioni complete e gli impatti dei CVE riportati sopra, consulta i bollettini di sicurezza.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-2165612}
Alte

GCP-2022-006

Data di pubblicazione: 14-02-2022
Aggiornamento: 16-05-2022
Aggiornamento 16/05/2022: è stata aggiunta la versione 1.19.16-gke.7800 o successiva di GKE all'elenco delle versioni con codice per correggere questa vulnerabilità.
Aggiornamento 12-05-2022: Versioni aggiornate delle patch per GKE, Anthos su Bare Metal, cluster Anthos su VMware e cluster Anthos su AWS. Risolto un problema per cui il bollettino sulla sicurezza per i cluster Anthos su AWS non era visualizzato quando è stato aggiunto il 23-02-2022.

GKE

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'analisi dei container.

Che cosa devo fare?

Aggiornamento 16/05/2022: oltre alle versioni di GKE indicate nell'aggiornamento 12-05-2022, anche la versione 1.19.16-gke.7800 o successiva di GKE contiene codice che corregge questa vulnerabilità.


Aggiornamento 12-05-2022: le seguenti versioni di GKE contengono codice che corregge questa vulnerabilità:

  • 1.20.15-gke.5600 o successivo
  • 1.21.11-gke.1500 o versioni successive
  • 1.22.8-gke.1800 o versioni successive
  • 1.23.5-gke.1800 o versioni successive

Aggiornamento 15-02-2022: istruzione gVisor corretta.

La vulnerabilità si trova nel kernel Linux cgroup_release_agent_write nella funzione kernel/cgroup/cgroup-v1.c e può essere utilizzata come gruppo di lavoro. GKE non è interessato dalla protezione del profilo AppArmor predefinito su Ubuntu e COS. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno allentato le limitazioni di sicurezza sui pod modificando il campo security del pod o del container. Ad esempio, ha disattivato/cambiato il profilo AppArmor, il che è sconsigliato. Oltre al profilo AppArmor predefinito, queste funzionalità proteggono anche dalla vulnerabilità:

  • GKE Autopilot non è interessato a causa del profilo predefinito seccomp.
  • Aggiornamento 15-02-2022: gVisor (GKE Sandbox) non è interessato poiché gVisor non consente l'accesso alla chiamata di sistema vulnerabile sull'host.

Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2022-0492

Ridotta

Cluster Anthos su

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'analisi dei container.

Che cosa devo fare?

Aggiornamento 12-05-2022: Le seguenti versioni di cluster Anthos su VMware contengono codice che corregge questa vulnerabilità.

COS
  • 1.8.8 o versioni successive
  • 1.9.5 o versioni successive
  • 1.10.2 o versioni successive
  • 1.11.0 o versioni successive
Ubuntu
  • 1.9.6 o versioni successive
  • 1.10.3 o versioni successive
  • 1.11.0 o versioni successive

La vulnerabilità si trova nella cartella cgroup_release_agent_write del kernel Linux nella funzione kernel/cgroup/cgroup-v1.c e può essere utilizzata come gruppo di deployment. I cluster Anthos su VMware non sono interessati dalla protezione dal profilo AppArmor predefinito su Ubuntu e COS. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno allentato le restrizioni di sicurezza sui pod modificando il campo securityContext di pod o container. Ad esempio, disattivando/modificando il profilo AppArmor, questa operazione è sconsigliata.

Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2022-0492

Ridotta

Anthos clusters on AWS

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'analisi dei container.

Che cosa devo fare?

Aggiornamento 12-05-2022: le seguenti versioni di cluster Anthos su generazione corrente e precedente su AWS contengono codice che corregge questa vulnerabilità:

Generazione attuale
  • 1.21.11-gke.1100
  • 1.22.8-gke.1300
Generazione precedente
  • 1.22.8-gke.1300
  • 1.21.11-gke.1100
  • 1.20.15-gke.5200

Aggiornamento 23-02-2022:è stata aggiunta una nota per i cluster Anthos su AWS.

I cluster Anthos sui sistemi AWS precedenti e attuali non sono interessati a causa della protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero ancora essere vulnerabili se hanno allentato le restrizioni di sicurezza sui pod modificando il campo securityContext o il pod, ad esempio disattivando o modificando il profilo AppArmor, cosa sconsigliata.

Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2022-0492

Ridotta

Anthos su

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'analisi dei container.

Che cosa devo fare?

Aggiornamento 12-05-2022: le seguenti versioni di Anthos su Azure contengono codice che corregge questa vulnerabilità:

  • 1.21.11-gke.1100
  • 1.22.8-gke.1300

Anthos su Azure non è interessato a causa della protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero ancora essere vulnerabili se hanno allentato le restrizioni di sicurezza sui pod modificando il campo securityContext o il pod, ad esempio disattivando o modificando il profilo AppArmor, cosa sconsigliata.

Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2022-0492

Ridotta

GCP-2022-005

Pubblicato: 11-02-2022
Ultimo aggiornamento: 15-02-2022
Riferimento:
CVE-2021-43527

GKE

Descrizione Gravità
Aggiornamento 15-02-2022: alcune versioni di GKE menzionate nel bollettino originale sono state combinate con altre correzioni e i loro numeri di versione sono stati incrementati prima del rilascio. Le patch sono disponibili nelle seguenti versioni di GKE:
  • 1.20.15-gke.300
  • 1.21.9-gke.300
  • 1.22.6-gke.1000

È stata rilevata una vulnerabilità di sicurezza CVE-2021-43527 in qualsiasi programma binario che rimanda alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità di TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato NSS. Sia le immagini COS di GKE che quelle di Ubuntu hanno una versione vulnerabile e devono essere corrette.

Potenzialmente, CVE-2021-43527 può avere un ampio impatto sulle applicazioni che utilizzano NSS per la gestione delle firme codificate all'interno di CMS, S/MIME, PKCS#7 o PKCS#12. Potrebbero essere interessate anche applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende da come viene utilizzato/configurato l'NSS.

GKE non utilizza libnss3 per le API accessibili da Internet. L'impatto è limitato al codice host in esecuzione all'esterno dei container, che è piccolo a causa della progettazione minima di Chrome OS. Il codice GKE in esecuzione all'interno dei container utilizzando l'immagine di base distroless golang non è interessato.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a una delle seguenti versioni di GKE:

  • Versione 1.18 da determinare
  • 1.19.16-gke.6100
  • 1.20.15-gke.200
  • 1.21.9-gke.200
  • 1.22.6-gke.600
  • 1.23.3-gke.500
Stai utilizzando una versione di GKE precedente alla 1.18? Stai utilizzando una versione di GKE fuori dallo SLA e dovresti valutare l'upgrade a una delle versioni supportate.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2021-43527

Media

Cluster Anthos su

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza CVE-2021-43527 in qualsiasi programma binario che rimanda alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità di TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come configurano NSS. Sia per le immagini Cluster Anthos su VMware COS che per Ubuntu è installata una versione vulnerabile e devono essere corrette.

Potenzialmente, CVE-2021-43527 può avere un ampio impatto sulle applicazioni che utilizzano NSS per la gestione delle firme codificate all'interno di CMS, S/MIME, PKCS \#7 o PKCS \#12. Potrebbero essere interessate anche applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende da come configurano/utilizzano NSS. Anthos su VMware non utilizza libnss3 per qualsiasi API accessibile pubblicamente, pertanto l'impatto è limitato e la gravità di questo CVE per i cluster Anthos su VMware è classificata come Media.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di Anthos sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade del tuo piano di controllo e dei nodi a una delle seguenti versioni di Anthos:

  • 1,8,7
  • 1,9,4
  • 1,10,2

Utilizzi una versione di Anthos Cluster su VMware precedente alla 1.18? Stai utilizzando una versione di Anthos fuori dallo SLA e dovresti valutare l'upgrade a una delle versioni supportate.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2021-43527

Media

Anthos su

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza CVE-2021-43527 in qualsiasi programma binario che rimanda alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità di TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato NSS. Nei cluster Anthos sulle immagini di Azure Ubuntu è installata una versione vulnerabile e devono essere applicate patch.

Potenzialmente, CVE-2021-43527 può avere un ampio impatto sulle applicazioni che utilizzano NSS per la gestione delle firme codificate all'interno di CMS, S/MIME, PKCS#7 o PKCS#12. Potrebbero essere interessate anche applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende da come configurano/utilizzano NSS. I cluster Anthos su Azure non utilizzano libnss3 per qualsiasi API accessibile pubblicamente, pertanto l'impatto è limitato e la gravità di CVE per Anthos su Azure è classificata come Media.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di Anthos su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei tuoi cluster a una delle seguenti versioni di Anthos su Azure:

  • Versione 1.21.6-gke.1500

Quale vulnerabilità viene affrontata da questa patch?

CVE-2021-43527

Media

GCP-2022-004

Pubblicato: 04-02-2022
Riferimento: CVE-2021-4034

GKE

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza CVE-2021-4034 in pkexec, una parte del pacchetto di criteri Linux (polkit), che consente a un utente autenticato di eseguire un attacco di riassegnazione dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio di servizi e così via, come regolato da un criterio.

Che cosa devo fare?

GKE non è interessato perché il modulo vulnerabile, policykit-1, non è installato su immagini COS o Ubuntu utilizzate in GKE. Non è richiesta alcuna azione da parte tua.

Nessuno

Cluster Anthos su

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza CVE-2021-4034 in pkexec, una parte del pacchetto di criteri Linux (polkit), che consente a un utente autenticato di eseguire un attacco di riassegnazione dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio di servizi e così via, come regolato da un criterio.

La configurazione predefinita di Anthos fornisce già agli utenti i privilegi di accesso completi "sudo", pertanto questo exploit non modifica il livello di sicurezza di Anthos esistente

Dettagli tecnici

Per poter sfruttare questo bug, un utente malintenzionato ha bisogno di una shell non root sul file system del nodo e di avere installato la versione vulnerabile di pkexec. Sebbene i cluster Anthos su VMware includano una versione di policykit-1 nelle immagini di rilascio, la configurazione predefinita di Anthos consente l'esecuzione sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede all'utente ulteriori privilegi di cui già dispone.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. I cluster Anthos su VMware non sono interessati.

Nessuno

Cluster Anthos su

Descrizione Gravità
I cluster Anthos su AWS sono non interessati. Il modulo vulnerabile, policykit-1, non è installato sulle immagini Ubuntu utilizzate dalla versione corrente e da quelle precedenti dei cluster Anthos su AWS. Nessuno

Anthos su

Descrizione Gravità

È stata rilevata una vulnerabilità di sicurezza CVE-2021-4034 in pkexec, una parte del pacchetto di criteri Linux (polkit), che consente a un utente autenticato di eseguire un attacco di riassegnazione dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio di servizi e così via, come regolato da un criterio.

La configurazione predefinita di Anthos fornisce già agli utenti i privilegi di accesso completi "sudo", pertanto questo exploit non modifica il livello di sicurezza di Anthos esistente

Dettagli tecnici

Per poter sfruttare questo bug, un utente malintenzionato ha bisogno di una shell non root sul file system del nodo e di avere installato la versione vulnerabile di pkexec. Sebbene Anthos su Azure includa una versione di policykit-1 nelle immagini di rilascio, la configurazione predefinita di Anthos consente l'esecuzione sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede all'utente ulteriori privilegi di cui già dispone.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. Anthos su Azure non è interessato.

Nessuno

Cluster Anthos su

Descrizione Gravità
L'utilizzo di Anthos su Bare Metal potrebbe essere influenzato dai pacchetti installati sul sistema operativo gestito dal cliente. Analizza le immagini del sistema operativo e, se necessario, correggile. Nessuno

GCP-2022-002

Pubblicata: 01-02-2022
Ultimo aggiornamento: 07-03-2022
Riferimento:
CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Aggiornamento 2022-02-04-04: Aggiunti aggiornamenti di lancio per i cluster GKE e Anthos su VMware.

GKE

Ultimo aggiornamento: 07-03-2022

Descrizione Gravità

Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può causare un interruzione del container, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, i cluster Anthos su VMware, i cluster Anthos su AWS (generazione attuale e precedente) e Anthos su Azure.

I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità.

Per maggiori dettagli, consulta le note di rilascio di COS.

Dettagli tecnici

In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug after-free-free nel kernel Linux, ottenendo così i privilegi root. Si tratta di un attacco di riassegnazione dei privilegi locale che comporterà un'interruzione del container.

CVE-2021-22600 è un doppio exploit senza costi in package_set_ring che può causare l'escape del container sul nodo host.

Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() potrebbe portare a una scrittura fuori limite che causerà un'interruzione del container.

Il percorso di sfruttamento di questa vulnerabilità che si basa sul comando "unshare" syscall è bloccato sui cluster GKE Autopilot per impostazione predefinita utilizzando il filtro seccomp.

Sono protetti anche gli utenti che hanno attivato manualmente il profilo seccomp runtime del container predefinito sui cluster GKE Standard.

Che cosa devo fare?

Aggiornamento 07-03-2022: le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere tutte queste vulnerabilità sia per le immagini Ubuntu sia per quelle COS. Esegui l'upgrade del tuo piano di controllo e dei nodi a una delle seguenti versioni di GKE.

  • 1.18.20-gke.6101
  • 1.19.16-gke.8300
  • 1.20.15-gke.2500
  • 1.21.10-gke.400
  • 1.22.7-gke.900
  • 1.23.3-gke.1100

Aggiornamento 25-02-2022: se utilizzi immagini dei nodi Ubuntu, 1.22.6-gke.1000 non fa riferimento a CVE-2021-22600. Aggiorneremo questo bollettino con le versioni delle patch di Ubuntu quando saranno disponibili.


Aggiornamento 23-02-2022: le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con un codice per correggere queste vulnerabilità. Esegui l'upgrade dei tuoi cluster a una delle seguenti versioni di GKE.

  • 1.18.20-gke.6101
  • 1.22.6-gke.1000
  • 1.23.3-gke.1100

Aggiornamento 04-02-2022: la data di inizio dell'implementazione delle versioni delle patch GKE era il 2 febbraio.


Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei tuoi cluster a una delle seguenti versioni di GKE.

  • 1.19.16-gke.6100
  • 1.20.15-gke.300
  • 1.21.9-gke.300

Sono inoltre in corso le versioni 1.22 e 1.23. Aggiorneremo questo bollettino con versioni specifiche quando saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

Alte

Cluster Anthos su

Ultimo aggiornamento: 23-02-2022

Descrizione Gravità

Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può causare un interruzione del container, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, i cluster Anthos su VMware, i cluster Anthos su AWS (generazione attuale e precedente) e Anthos su Azure.

Per maggiori dettagli, consulta le note di rilascio di COS.

Dettagli tecnici

In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug after-free-free nel kernel Linux, ottenendo così i privilegi root. Si tratta di un attacco di riassegnazione dei privilegi locale che comporterà un'interruzione del container.

CVE-2021-22600 è un doppio exploit senza costi in package_set_ring che può causare l'escape del container sul nodo host.

Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() potrebbe portare a una scrittura fuori limite che causerà un'interruzione del container.

Sono protetti anche gli utenti che hanno attivato manualmente il profilo seccomp runtime del container predefinito sui cluster GKE Standard.

Che cosa devo fare?

Aggiornamento 23-02-2022: la versione 1.10.2 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) è ora prevista per il 1° marzo.

Aggiornamento 23-02-2022: sono state aggiunte versioni con patch che riguardano CVE-2021-2260.

La versione 1.10.1 non gestisce CVE-2021-22600 ma riguarda le altre vulnerabilità. Le versioni 1.9.4 e 1.10.2, entrambe non rilasciate, riguardano CVE-2021-22600. Le versioni delle immagini dei nodi Linux per le seguenti versioni dei cluster Anthos su VMware sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei tuoi cluster a una delle seguenti versioni di Cluster Anthos su VMware:

  • 1.10.1 (Correzioni CVE-2021-4154 e CVE-2022-0185. Data di uscita: 10 febbraio)
  • 1.8.7 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. Data di rilascio: 17 febbraio)
  • 1.9.4 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. Data di rilascio: 23 febbraio)
  • 1.10.2 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. In programma per il 24 febbraio

Aggiornamento 04-02-2022: sono state aggiunte informazioni sulle immagini Ubuntu che non riguardano CVE-2021-22600.

Le versioni delle immagini dei nodi Linux per le seguenti versioni dei cluster Anthos su VMware sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei tuoi cluster a una delle seguenti versioni di Cluster Anthos su VMware:

  • 1.10.1 (solo aggiornamento COS). La patch Ubuntu sarà in 1.10.2 programmata per il 23 febbraio)
  • 1.9.4 (programmato per il 15 febbraio)
  • 1.8.7 (programmato per il 15 febbraio)

Quale vulnerabilità viene affrontata da questa patch?

Alte

Cluster Anthos su

Descrizione Gravità

Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può causare un interruzione del container, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, i cluster Anthos su VMware, i cluster Anthos su AWS (generazione attuale e precedente) e Anthos su Azure.

Per maggiori dettagli, consulta le note di rilascio di COS.

Dettagli tecnici

In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug after-free-free nel kernel Linux, ottenendo così i privilegi root. Si tratta di un attacco di riassegnazione dei privilegi locale che comporterà un'interruzione del container.

CVE-2021-22600 è un doppio exploit senza costi in package_set_ring che può causare l'escape del container sul nodo host.

Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() potrebbe portare a una scrittura fuori limite che causerà un'interruzione del container.

Sono protetti anche gli utenti che hanno attivato manualmente il profilo seccomp runtime del container predefinito sui cluster GKE Standard.

Che cosa devo fare?

Anthos clusters on AWS

Le versioni delle immagini dei nodi Linux per le seguenti versioni dei cluster Anthos su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster ai seguenti cluster Anthos sulla versione AWS:

  • 1.21.6-gke.1500 e versioni successive (disponibile a febbraio)

Cluster Anthos su AWS (generazione precedente)

Le versioni delle immagini dei nodi Linux per le seguenti versioni dei cluster Anthos su AWS (generazione precedente) sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei tuoi cluster a uno dei seguenti cluster Anthos su versioni AWS (generazione precedente):

  • 1.19.16-gke.5300
  • 10.20.14-gke.2000
  • 1.21.8-gke.2000

Quale vulnerabilità viene affrontata da questa patch?

Alte

Anthos su

Descrizione Gravità

Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può causare un interruzione del container, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, i cluster Anthos su VMware, i cluster Anthos su AWS (generazione attuale e precedente) e Anthos su Azure.

Per maggiori dettagli, consulta le note di rilascio di COS.

Dettagli tecnici

In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug after-free-free nel kernel Linux, ottenendo così i privilegi root. Si tratta di un attacco di riassegnazione dei privilegi locale che comporterà un'interruzione del container.

CVE-2021-22600 è un doppio exploit senza costi in package_set_ring che può causare l'escape del container sul nodo host.

Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() potrebbe portare a una scrittura fuori limite che causerà un'interruzione del container.

Sono protetti anche gli utenti che hanno attivato manualmente il profilo seccomp runtime del container predefinito sui cluster GKE Standard.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di Anthos su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla seguente versione di Anthos su Azure:

  • 1.21.6-gke.1500 e versioni successive (disponibile a febbraio)

Quale vulnerabilità viene affrontata da questa patch?

Alte

GCP-2021-024

Pubblicato: 21-10-2021
Riferimento: CVE-2021-25742

GKE

Descrizione Gravità

È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero di token e secret dell'account di servizio ingress-nginx in tutti gli spazi dei nomi.

Che cosa devo fare?

Questo problema di sicurezza non influisce sull'infrastruttura del cluster GKE o sull'infrastruttura del cluster degli ambienti Anthos. Se utilizzi ingress-nginx nei deployment dei tuoi carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per ulteriori dettagli, consulta la pagina ingress-nginx Issue 7837.

Nessuno

Cluster Anthos su

Descrizione Gravità

È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero di token e secret dell'account di servizio ingress-nginx in tutti gli spazi dei nomi.

Che cosa devo fare?

Questo problema di sicurezza non influisce sull'infrastruttura del cluster GKE o sull'infrastruttura del cluster degli ambienti Anthos. Se utilizzi ingress-nginx nei deployment dei tuoi carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per ulteriori dettagli, consulta la pagina ingress-nginx Issue 7837.

Nessuno

Cluster Anthos su

Descrizione Gravità

È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero di token e secret dell'account di servizio ingress-nginx in tutti gli spazi dei nomi.

Che cosa devo fare?

Questo problema di sicurezza non influisce sull'infrastruttura del cluster GKE o sull'infrastruttura del cluster degli ambienti Anthos. Se utilizzi ingress-nginx nei deployment dei tuoi carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per ulteriori dettagli, consulta la pagina ingress-nginx Issue 7837.

Nessuno

Cluster Anthos su

Descrizione Gravità

È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero di token e secret dell'account di servizio ingress-nginx in tutti gli spazi dei nomi.

Che cosa devo fare?

Questo problema di sicurezza non influisce sull'infrastruttura del cluster GKE o sull'infrastruttura del cluster degli ambienti Anthos. Se utilizzi ingress-nginx nei deployment dei tuoi carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per ulteriori dettagli, consulta la pagina ingress-nginx Issue 7837.

Nessuno

GCP-2021-019

Data di pubblicazione: 29-09-2021

GKE

Descrizione Gravità

Esiste un problema noto relativo all'aggiornamento di una risorsa BackendConfig tramite l'API v1beta1 che rimuove un criterio di sicurezza di Google Cloud Armor attivo dal servizio.

Sono interessato?

Se BackendConfig è già stato aggiornato con l'API v1beta1, il tuo criterio di sicurezza di Google Cloud Armor potrebbe essere stato rimosso. Per determinare se ciò si è verificato, esegui il seguente comando:


kubectl get backendconfigs -A -o json | \
jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
  • Se la risposta restituisce output: il cluster è interessato dal problema. L'output di questo comando restituisce un elenco di BackendConfig risorse (<namespace>/<name>) interessate dal problema.
  • Se l'output è vuoto: BackendConfig non è stato aggiornato utilizzando l'API v1beta1 da quando è stato introdotto il problema. Eventuali aggiornamenti futuri a BackendConfig dovrebbero utilizzare solo v1.

Questo problema riguarda le seguenti versioni di GKE:

  • Da 1.18.19-gke.1400 a 1.18.20-gke.5100 (escluso)
  • Da 1.19.10-gke.700 a 1.19.14-gke.300 (esclusivo)
  • Da 1.20.6-gke.700 a 1.20.9-gke.900 (esclusivo)
  • Da 1.21 a 1.21.1-gke.2700 (escluso)

Se non configuri Google Cloud Armor nelle risorse Ingress tramite BackendConfig, il problema non interessa i cluster.

Che cosa devo fare?

Esegui l'upgrade del piano di controllo GKE a una delle seguenti versioni aggiornate che risolve il problema e consente l'utilizzo sicuro di v1beta1 risorse BackendConfig:

  • 1.21.1-gke.2700 e versioni successive
  • 1.20.9-gke.900 e versioni successive
  • 1.19.14-gke.300 e versioni successive
  • 1.18.20-gke.5100 e versioni successive

Questo problema può anche essere evitato evitando il deployment di risorse v1beta1 BackendConfig. Se configuri Google Cloud Armor nelle tue risorse Ingress tramite BackendConfig e hai scoperto di essere interessato dai passaggi precedenti, riattiva Google Cloud Armor eseguendo il push di un aggiornamento alla risorsa BackendConfig attuale con la versione dell'API cloud.google.com/v1.

Per evitare questo problema, esegui gli aggiornamenti di BackendConfig solo utilizzando l'API v1 BackendConfig.

Poiché v1 BackendConfig supporta gli stessi campi di v1beta1 e non provoca modifiche che provocano errori, il campo API può essere aggiornato in modo trasparente. Per farlo, sostituisci il campo apiVersion di qualsiasi manifest attivo di BackendConfig con cloud.google.com/v1 e non utilizzare cloud.google.com/v1beta1.

Il manifest del seguente esempio descrive una risorsa BackendConfig che utilizza l'API v1:


apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: my-backend-config
spec:
  securityPolicy:
    name: "ca-how-to-security-policy"

Se utilizzi strumenti o sistemi CI/CD che aggiornano regolarmente le risorse BackendConfig, assicurati di utilizzare il gruppo API cloud.google.com/v1 in questi sistemi

Ridotta

GCP-2021-022

Data di pubblicazione: 23-09-2021

Cluster Anthos su

Descrizione Gravità

È stata rilevata una vulnerabilità nel modulo LDAP di Anthos Identity Service (AIS) dei cluster Anthos sulle versioni VMware 1.8 e 1.8.1, dove una chiave di origine utilizzata per generare le chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie e riassegnare i privilegi a tempo indeterminato.

Dettagli tecnici

Un'aggiunta recente al codice AIS crea chiavi simmetriche usando il modulo matematico/relativo a golang, che non è adatto al codice sensibile alla sicurezza. Il modulo viene utilizzato in un modo che genererà una chiave prevedibile. Durante la verifica dell'identità, viene generata una chiave di token sicura (STS) successivamente criptata con una chiave simmetrica semplice da ricavare.

Che cosa devo fare?

Questa vulnerabilità interessa solo i clienti che utilizzano AIS nei cluster Anthos sulle versioni 1.8 e 1.8.1 di VMware. Per gli utenti di Cluster Anthos su VMware 1.8, esegui l'upgrade dei cluster alla seguente versione:

  • 1,8,2
Alte

GCP-2021-021

Pubblicato: 22-09-2021
Riferimento: CVE-2020-8561

GKE

Descrizione Gravità

In Kubernetes è stata rilevata una vulnerabilità di sicurezza CVE-2020-8561, in cui è possibile effettuare determinati webhook per reindirizzare le richieste kube-apiserver a reti private del server API.

Dettagli tecnici

Con questa vulnerabilità, gli utenti che controllano le risposte delle richieste MutatingWebhookConfiguration o ValidatingWebhookConfiguration possono reindirizzare le richieste kube-apiserver a reti private del server API. Se l'utente può visualizzare i log kube-apiserver quando il livello di log è impostato su 10, può visualizzare le risposte e le intestazioni reindirizzate nei log.

Questo problema può essere mitigato modificando alcuni parametri per il server API.

Che cosa devo fare?

Al momento non è richiesta alcuna azione.

Le versioni attualmente disponibili di GKE e Anthos hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:

  • Il flag --profiling per kube-apiserver è impostato su false.
  • Il livello di log di kube-apiserver è impostato su 10.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2020-8561

Media

Cluster Anthos su

Descrizione Gravità

In Kubernetes è stata rilevata una vulnerabilità di sicurezza CVE-2020-8561, in cui è possibile effettuare determinati webhook per reindirizzare le richieste kube-apiserver a reti private del server API.

Dettagli tecnici

Con questa vulnerabilità, gli utenti che controllano le risposte delle richieste MutatingWebhookConfiguration o ValidatingWebhookConfiguration possono reindirizzare le richieste kube-apiserver a reti private del server API. Se l'utente può visualizzare i log kube-apiserver quando il livello di log è impostato su 10, può visualizzare le risposte e le intestazioni reindirizzate nei log.

Questo problema può essere mitigato modificando alcuni parametri per il server API.

Che cosa devo fare?

Al momento non è richiesta alcuna azione.

Le versioni attualmente disponibili di GKE e Anthos hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:

  • Il flag --profiling per kube-apiserver è impostato su false.
  • Il livello di log di kube-apiserver è impostato su 10.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2020-8561

Media

Cluster Anthos su

Descrizione Gravità

In Kubernetes è stata rilevata una vulnerabilità di sicurezza CVE-2020-8561, in cui è possibile effettuare determinati webhook per reindirizzare le richieste kube-apiserver a reti private del server API.

Dettagli tecnici

Con questa vulnerabilità, gli utenti che controllano le risposte delle richieste MutatingWebhookConfiguration o ValidatingWebhookConfiguration possono reindirizzare le richieste kube-apiserver a reti private del server API. Se l'utente può visualizzare i log kube-apiserver quando il livello di log è impostato su 10, può visualizzare le risposte e le intestazioni reindirizzate nei log.

Questo problema può essere mitigato modificando alcuni parametri per il server API.

Che cosa devo fare?

Al momento non è richiesta alcuna azione.

Le versioni attualmente disponibili di GKE e Anthos hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:

  • Il flag --profiling per kube-apiserver è impostato su false.
  • Il livello di log di kube-apiserver è impostato su 10.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2020-8561

Media

Cluster Anthos su

Descrizione Gravità

In Kubernetes è stata rilevata una vulnerabilità di sicurezza CVE-2020-8561, in cui è possibile effettuare determinati webhook per reindirizzare le richieste kube-apiserver a reti private del server API.

Dettagli tecnici

Con questa vulnerabilità, gli utenti che controllano le risposte delle richieste MutatingWebhookConfiguration o ValidatingWebhookConfiguration possono reindirizzare le richieste kube-apiserver a reti private del server API. Se l'utente può visualizzare i log kube-apiserver quando il livello di log è impostato su 10, può visualizzare le risposte e le intestazioni reindirizzate nei log.

Questo problema può essere mitigato modificando alcuni parametri per il server API.

Che cosa devo fare?

Al momento non è richiesta alcuna azione.

Le versioni attualmente disponibili di GKE e Anthos hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:

  • Il flag --profiling per kube-apiserver è impostato su false.
  • Il livello di log di kube-apiserver è impostato su 10.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2020-8561

Media

GCP-2021-018

Pubblicato: 15-09-2021
Ultimo aggiornamento: 24-09-2021
Riferimento: CVE-2021-25741

Aggiornamento del 24/09/2021: i cluster Anthos sul bollettino Bare Metal sono stati aggiornati con versioni aggiuntive con patch.

Aggiornamento 20/09/2021: bollettini aggiunti per i cluster Anthos su Bare Metal

Aggiornamento del 16/09/2021: bollettini aggiunti per i cluster Anthos su VMware


GKE

Descrizione Gravità

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volumi secondari per accedere a file e directory esterne al volume, inclusi nel file system host.

Dettagli tecnici:

In CVE-2021-25741, l'utente malintenzionato può creare un link simbolico da un emptyDir montato al file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e monterà la radice dell'host nel container.

Che cosa devo fare?

Per usufruire delle patch più recenti, ti consigliamo di eseguire l'upgrade dei pool di nodi a una delle versioni seguenti o successive:

  • 1.21.4-gke.301
  • 1.20.10-gke.301
  • 1.19.14-gke.301
  • 1.18.20-gke.4501

Anche la seguente versione contiene la correzione:

  • 1.21.3-gke.2001
  • 1.20.8-gke.2101
  • 1.20.9-gke.701
  • 1.20.9-gke.1001
  • 191.12-gke.2101
  • 1.19.13-gke.701
  • 18.18.20-gke.3001
Alte

Cluster Anthos su

Descrizione Gravità

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volumi secondari per accedere a file e directory esterne al volume, inclusi nel file system host.

Dettagli tecnici:

In CVE-2021-25741, l'utente malintenzionato può creare un link simbolico da un emptyDir montato al file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e monterà la radice dell'host nel container.

Che cosa devo fare?

Aggiornamento del 24/09/2021: sono ora disponibili le versioni con patch 1.8.3 e 1.7.4.

Aggiornamento del 17/09/2021:corretto l'elenco delle versioni disponibili che contengono la patch.


Le seguenti versioni di cluster Anthos su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:

  • 1,8,3
  • 1,8,2
  • 1,7,4
  • 1,6,5
Alte

Cluster Anthos su

Descrizione Gravità

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volumi secondari per accedere a file e directory esterne al volume, inclusi nel file system host.

Dettagli tecnici:

In CVE-2021-25741, l'utente malintenzionato può creare un link simbolico da un emptyDir montato al file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e monterà la radice dell'host nel container.

Che cosa devo fare?

Aggiornamento 16-9-2021: aggiunto l'elenco delle versioni gke supportate per gli oggetti AWSCluster e AWSNodePool.


Le seguenti versioni di cluster Anthos su AWS sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di:

  • Esegui l'upgrade degli oggetti AWSManagementService, AWSCluster e AWSNodePool alla seguente versione:
    • 1,8,2
  • Aggiorna la versione gke dei tuoi oggetti AWSCluster e AWSNodePool a una delle versioni di Kubernetes supportate:
    • 1.17.17-gke.15800
    • 1.18.20-gke.4800
    • 1.19.14-gke.600
    • 1.20.10-gke.600
Alte

Cluster Anthos su

Descrizione Gravità

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volumi secondari per accedere a file e directory esterne al volume, inclusi nel file system host.

Dettagli tecnici:

In CVE-2021-25741, l'utente malintenzionato può creare un link simbolico da un emptyDir montato al file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e monterà la radice dell'host nel container.

Che cosa devo fare?

Le seguenti versioni di cluster Anthos su Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:

  • 1,8,3
  • 1,7,4
Alte

GCP-2021-017

Pubblicato: 01-09-2021
Ultimo aggiornamento: 23-09-2021
Riferimento: CVE-2021-33909
CVE-2021-33910

GKE

Descrizione Gravità
Aggiornamento 23-09-2021:

I container in esecuzione all'interno di Sandbox di GKE non sono interessati da questa vulnerabilità per gli attacchi che hanno origine all'interno del container.


Aggiornamento del 15/09/2021:

Le seguenti versioni di GKE risolvono le vulnerabilità:

  • 1.18.20-gke.4100
  • 1910.13-gke.1900
  • 1.20.9-gke.1500
  • 1.21.3-gke.1400

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono portare a un arresto anomalo del sistema operativo o a un'escalation da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Dettagli tecnici:

In CVE-2021-33909, il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, portando a un overflow intero, una scrittura out-of-bounds e un'escalation al root.
Con CVE-2021-33910, il sistema ha un'allocazione di memoria con un valore di dimensioni eccessive (che include strdupa e alloca per un nome di percorso controllato da un utente malintenzionato locale) che provoca un arresto anomalo del sistema operativo.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni:

  • 1.18.20-gke.4100
  • 1910.13-gke.1900
  • 1.20.9-gke.1500
  • 1.21.3-gke.1400
Alte

Cluster Anthos su

Descrizione Gravità

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono portare a un arresto anomalo del sistema operativo o a un'escalation da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Dettagli tecnici:

In CVE-2021-33909, il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, portando a un overflow intero, una scrittura out-of-bounds e un'escalation al root.
Con CVE-2021-33910, il sistema ha un'allocazione di memoria con un valore di dimensioni eccessive (che include strdupa e alloca per un nome di percorso controllato da un utente malintenzionato locale) che provoca un arresto anomalo del sistema operativo.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per i cluster Anthos su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni:

  • 1.20.10-gke.600
  • 1.19.14-gke.600
  • 1.18.20-gke.4800
  • 1.17.17-gke.15800
Alte

Cluster Anthos su

Descrizione Gravità

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono portare a un arresto anomalo del sistema operativo o a un'escalation da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Dettagli tecnici:

In CVE-2021-33909, il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, portando a un overflow intero, una scrittura out-of-bounds e un'escalation al root.
Con CVE-2021-33910, il sistema ha un'allocazione di memoria con un valore di dimensioni eccessive (che include strdupa e alloca per un nome di percorso controllato da un utente malintenzionato locale) che provoca un arresto anomalo del sistema operativo.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux e COS per i cluster Anthos su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni:

  • 1.9
  • 1,8,2
  • 1,7,3
  • 1.6.4 (solo Linux)

Vedi Cronologia delle versioni - Versioni di Kubernetes e kernel.

Alte

GCP-2021-015

Pubblicato: 13-07-2021
Ultimo aggiornamento: 15-07-2021
Riferimento: CVE-2021-22555

GKE

Descrizione Gravità

È stata rilevata una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi di CAP_NET_ADMIN può causare il rooting di un container sull'host. Questa vulnerabilità interessa tutti i cluster GKE e i cluster Anthos su VMware con Linux 2.6.19 o versioni successive.

Dettagli tecnici

In questo attacco, una scrittura fuori limite in setsockopt nel sottosistema netfilter in Linux può consentire un danneggiamento dell'heap (e quindi un denial of service) e un escalation dei privilegi.

Che cosa devo fare?

Le seguenti versioni di Linux su GKE sono state aggiornate con un codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni:

  • 1.21.1-gke.2200
  • 1.20.7-gke.2200
  • 1.19.11-gke.2100
  • 1.18.20-gke.501

Quale vulnerabilità viene affrontata da questa patch?

CVE-2021-22555

Alte

Cluster Anthos su

Descrizione Gravità

È stata rilevata una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi di CAP_NET_ADMIN può causare il rooting di un container sull'host. Questa vulnerabilità interessa tutti i cluster GKE e i cluster Anthos su VMware con Linux 2.6.19 o versioni successive.

Dettagli tecnici

In questo attacco, una scrittura fuori limite in setsockopt nel sottosistema netfilter in Linux può consentire un danneggiamento dell'heap (e quindi un denial of service) e un escalation dei privilegi.

Che cosa devo fare?

Le seguenti versioni di Linux su cluster Anthos su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni:

  • 1.8
  • 1,7,3
  • 1,6,4

Quale vulnerabilità viene affrontata da questa patch?

CVE-2021-22555

Alte

GCP-2021-014

Pubblicato: 05-07-2021
Riferimento: CVE-2021-34527

GKE

Descrizione Gravità

Microsoft ha pubblicato un bollettino sulla sicurezza in una vulnerabilità di esecuzione del codice remoto (RCE), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, soprannominata "PrintNightmare", che interessa anche gli spooler di stampa di Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. I nodi Windows di GKE non contengono il servizio Spooler interessato come parte dell'immagine di base, pertanto i deployment Windows di GKE non sono vulnerabili a questo attacco.

Quali vulnerabilità vengono affrontate da questo bollettino?

Alte

GCP-2021-012

Pubblicato: 1/07/2021
Ultimo aggiornamento: 09/07/2021
Riferimento: CVE-2021-34824

GKE

Descrizione Gravità

Che cosa devo fare?

Di recente il progetto Istio ha reso nota una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto e consente di accedere alle credenziali specificate nel campo Gateway e DestinationRule credentialName da diversi spazi dei nomi.

Dettagli tecnici:

Il gateway sicuro Istio o i carichi di lavoro che utilizzano DestinationRule possono caricare chiavi e certificati privati TLS dai secret di Kubernetes tramite la configurazione credentialName. Da Istio 1.8 e versioni successive, i secret vengono letti da stiod e trasmessi a gateway e carichi di lavoro tramite XDS.

Normalmente, un gateway o un deployment dei carichi di lavoro possono accedere solo ai certificati TLS e alle chiavi private archiviate nel secret all'interno del suo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod.

Che cosa devo fare?

I cluster GKE non eseguono Istio per impostazione predefinita e, se abilitato, utilizzano Istio versione 1.6, che non è vulnerabile a questo attacco. Se hai installato o eseguito l'upgrade di Istio nel cluster a Istio 1.8 o versioni successive, esegui l'upgrade di Istio alla versione più recente supportata.

Alte

Cluster Anthos su

Descrizione Gravità

Che cosa devo fare?

Di recente il progetto Istio ha reso nota una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto e consente di accedere alle credenziali specificate nel campo Gateway e DestinationRule credentialName da diversi spazi dei nomi.

Dettagli tecnici:

Il gateway sicuro Istio o i carichi di lavoro che utilizzano DestinationRule possono caricare chiavi e certificati privati TLS dai secret di Kubernetes tramite la configurazione credentialName. Da Istio 1.8 e versioni successive, i secret vengono letti da stiod e trasmessi a gateway e carichi di lavoro tramite XDS.

Normalmente, un gateway o un deployment dei carichi di lavoro possono accedere solo ai certificati TLS e alle chiavi private archiviate nel secret all'interno del suo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod.

Che cosa devo fare?

I cluster Anthos su VMware v1.6 e v1.7 non sono vulnerabili a questo attacco. I cluster Anthos su VMware v1.8 sono vulnerabili.

Se utilizzi i cluster Anthos su VMware v1.8, esegui l'upgrade alla seguente versione con patch o successiva:

  • 1.8.0-gke.25
Alte

Cluster Anthos su

Descrizione Gravità

Che cosa devo fare?

Di recente il progetto Istio ha reso nota una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto e consente di accedere alle credenziali specificate nel campo Gateway e DestinationRule credentialName da diversi spazi dei nomi.

Dettagli tecnici:

Il gateway sicuro Istio o i carichi di lavoro che utilizzano DestinationRule possono caricare chiavi e certificati privati TLS dai secret di Kubernetes tramite la configurazione credentialName. Da Istio 1.8 e versioni successive, i secret vengono letti da stiod e trasmessi a gateway e carichi di lavoro tramite XDS.

Normalmente, un gateway o un deployment dei carichi di lavoro possono accedere solo ai certificati TLS e alle chiavi private archiviate nel secret all'interno del suo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. I cluster creati o aggiornati con i cluster Anthos su Bare Metal v1.8.0 sono interessati da questo CVE.

Che cosa devo fare?

Anthos v1.6 e 1.7 non sono vulnerabili a questo attacco. Se hai cluster v1.8.0, scarica e installa la versione 1.8.1 di bmctl ed esegui l'upgrade dei tuoi cluster alla seguente versione con patch:

  • 1,8,1
Alte

GCP-2021-011

Data di pubblicazione: 04-06-2021
Ultimo aggiornamento: 19-10-2021
Riferimento: CVE-2021-30465

Aggiornamento 2021-10-19: aggiunti i bollettini per i cluster Anthos su VMware, i cluster Anthos su AWS e i cluster Anthos su Bare Metal.

GKE

Descrizione Gravità

La community per la sicurezza ha recentemente rivelato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovata in runc, che potrebbe consentire l'accesso completo a un file system di nodi.

Per GKE, poiché l'utilizzo di questa vulnerabilità richiede la possibilità di creare pod, abbiamo valutato la gravità di questa vulnerabilità presso MEDIUM.

Dettagli tecnici

Il pacchetto runc è vulnerabile a un attacco di scambio di link simbolici durante il montaggio di un volume.

Per questo attacco specifico, un utente potrebbe sfruttare una condizione di gara avviando più pod su un singolo nodo contemporaneamente, che condividono tutti lo stesso volume con un collegamento simbolico.

Se l'attacco ha esito positivo, uno dei pod monta il filesystem del nodo con le autorizzazioni root.

Che cosa devo fare?

Esiste una patch appena rilasciata in runc (1.0.0-rc95) che corregge questa vulnerabilità.

Esegui l'upgrade del cluster GKE a una delle seguenti versioni aggiornate:

  • 18.19.19-gke.2100
  • 1.19.9-gke.1400
  • 1.20.6-gke.1400
  • 1.21.2-gke.600

Media

Cluster Anthos su

Descrizione Gravità

La community per la sicurezza ha recentemente rivelato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovata in runc, che potrebbe consentire l'accesso completo a un file system di nodi.

Per i cluster Anthos su VMware, poiché l'utilizzo di questa vulnerabilità richiede la possibilità di creare pod, abbiamo valutato la gravità di questa vulnerabilità su MEDIUM.

Dettagli tecnici

Il pacchetto runc è vulnerabile a un attacco di scambio di link simbolici durante il montaggio di un volume.

Per questo attacco specifico, un utente potrebbe sfruttare una condizione di gara avviando più pod su un singolo nodo contemporaneamente, che condividono tutti lo stesso volume con un collegamento simbolico.

Se l'attacco ha esito positivo, uno dei pod monta il filesystem del nodo con le autorizzazioni root.

Che cosa devo fare?

Esiste una patch appena rilasciata in runc che corregge questa vulnerabilità. Esegui l'upgrade dei tuoi cluster Anthos su VMware a una delle seguenti versioni:

  • 1.7.3-gke-2
  • 1.8.1-gke.7
  • 1.9.0-gke.8

Media

Cluster Anthos su

Descrizione Gravità

La community per la sicurezza ha recentemente rivelato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovata in runc, che potrebbe consentire l'accesso completo a un file system di nodi.

Poiché questa è una vulnerabilità a livello di sistema operativo, i cluster Anthos su AWS non sono vulnerabili.

Dettagli tecnici

Il pacchetto runc è vulnerabile a un attacco di scambio di link simbolici durante il montaggio di un volume.

Per questo attacco specifico, un utente potrebbe sfruttare una condizione di gara avviando più pod su un singolo nodo contemporaneamente, che condividono tutti lo stesso volume con un collegamento simbolico.

Se l'attacco ha esito positivo, uno dei pod monta il filesystem del nodo con le autorizzazioni root.

Che cosa devo fare?

Assicurati che per la versione del sistema operativo su cui esegui i cluster Anthos su AWS sia eseguito l'upgrade alla versione più recente del sistema operativo con un pacchetto runc aggiornato.

Nessuno

Cluster Anthos su

Descrizione Gravità

La community per la sicurezza ha recentemente rivelato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovata in runc, che potrebbe consentire l'accesso completo a un file system di nodi.

Poiché questa è una vulnerabilità a livello di sistema operativo, i cluster Anthos su Bare Metal non sono vulnerabili.

Dettagli tecnici

Il pacchetto runc è vulnerabile a un attacco di scambio di link simbolici durante il montaggio di un volume.

Per questo attacco specifico, un utente potrebbe sfruttare una condizione di gara avviando più pod su un singolo nodo contemporaneamente, che condividono tutti lo stesso volume con un collegamento simbolico.

Se l'attacco ha esito positivo, uno dei pod monta il filesystem del nodo con le autorizzazioni root.

Che cosa devo fare?

Assicurati che venga eseguito l'upgrade della versione del sistema operativo su cui esegui Anthos su Bare Metal all'ultima versione del sistema operativo con un pacchetto runc aggiornato.

Nessuno

GCP-2021-006

Pubblicato: 11-05-2021
Riferimento: CVE-2021-31920

GKE

Descrizione Gravità

Di recente il progetto Istio ha reso nota una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio.

Istio contiene una vulnerabilità sfruttabile da remoto, per cui una richiesta HTTP con più barre o caratteri di escape può ignorare il criterio di autorizzazione di Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Che cosa devo fare?

Ti consigliamo vivamente di aggiornare e riconfigurare i cluster GKE. Tieni presente che, per risolvere la vulnerabilità, devi completare entrambi i passaggi riportati di seguito:

  1. Aggiorna i tuoi cluster: completa le seguenti istruzioni per eseguire l'upgrade dei tuoi cluster alle ultime versioni della patch il prima possibile:
    • Se utilizzi Istio su GKE 1.6:

      La versione più recente della patch è la 1.6.14-gke.3. Segui le istruzioni sull'upgrade per eseguire l'upgrade dei cluster alla versione più recente.

    • Se utilizzi Istio su GKE 1.4:
    • Le release Istio su GKE 1.4 non sono più supportate da Istio e non eseguiamo il backport delle correzioni CVE a queste versioni. Segui le istruzioni di upgrade di Istio per eseguire l'upgrade dei tuoi cluster alla versione 1.6, quindi segui le istruzioni riportate sopra per ottenere la versione più recente di Istio su GKE 1.6.

  2. Configura Istio:

    Una volta applicate le patch ai tuoi cluster, devi riconfigurare Istio su GKE. Consulta la guida alle best practice per la sicurezza per configurare correttamente il sistema.

Alte

GCP-2021-004

Pubblicata: 2021-05-06
Riferimento: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

GKE

Descrizione Gravità

I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare un arresto anomalo di Envoy.

I cluster GKE non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per esporre i servizi a Internet, tali servizi potrebbero essere vulnerabili al denial of service.

Che cosa devo fare?

Per correggere queste vulnerabilità, esegui l'upgrade del piano di controllo GKE a una delle seguenti versioni con patch:

  • 1.16.15-gke.16200
  • 1.17.17-gke.6100
  • 1.18.17-gke.1300
  • 1.19.9-gke.1300
  • 1.20.5-gke.1400
Media

Cluster Anthos su

Descrizione Gravità

I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare un arresto anomalo di Envoy.

I cluster Anthos su VMware utilizzano Envoy per impostazione predefinita per la risorsa Ingress; pertanto, i servizi Ingress potrebbero essere vulnerabili agli attacchi DoS.

Che cosa devo fare?

Per risolvere queste vulnerabilità, esegui l'upgrade dei tuoi cluster Anthos su VMware a una delle seguenti versioni con patch al rilascio:

  • 1,5,4
  • 1,6,3
  • 1,7,1
Media

Cluster Anthos su

Ultimo aggiornamento: 06-05-2021

Descrizione Gravità

I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare un arresto anomalo di Envoy.

Anthos su Bare Metal utilizza Envoy per impostazione predefinita per la risorsa Ingress, quindi i servizi Ingress potrebbero essere vulnerabili agli attacchi DoS.

Che cosa devo fare?

Per correggere queste vulnerabilità, esegui l'upgrade del cluster Anthos su Bare Metal a una delle seguenti versioni con patch al momento del rilascio:

  • 1,6,3
  • 1,7,1
Media

GCP-2021-003

Pubblicato: 19-04-2021
Riferimento: CVE-2021-25735

GKE

Descrizione Gravità

Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di ammissione in convalida.

In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di ammissione di convalida che utilizza le precedenti proprietà dell'oggetto Node (ad esempio campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo che potrebbero compromettere il cluster. Nessuno dei criteri applicati dai controller di ammissione integrati di GKE e Kubernetes è interessato, ma consigliamo ai clienti di controllare eventuali altri webhook di ammissione che hanno installato.

Che cosa devo fare?

Per correggere questa vulnerabilità, esegui l'upgrade del cluster GKE a una delle seguenti versioni con patch:

  • 1.18.17-gke.900
  • 1.19.9-gke.900
  • 1.20.5-gke.900
Media

Cluster Anthos su

Descrizione Gravità

Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di ammissione in convalida.

In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di ammissione di convalida che utilizza le precedenti proprietà dell'oggetto Node (ad esempio campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo che potrebbero compromettere il cluster. Nessuno dei criteri applicati dai controller di ammissione integrati di GKE e Kubernetes è interessato, ma consigliamo ai clienti di controllare eventuali altri webhook di ammissione che hanno installato.

Che cosa devo fare?

Una versione imminente della patch includerà una mitigazione per questa vulnerabilità.

Media

Cluster Anthos su

Descrizione Gravità

Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di ammissione in convalida.

In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di ammissione di convalida che utilizza le precedenti proprietà dell'oggetto Node (ad esempio campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo che potrebbero compromettere il cluster. Nessuno dei criteri applicati dai controller di ammissione integrati di GKE e Kubernetes è interessato, ma consigliamo ai clienti di controllare eventuali altri webhook di ammissione che hanno installato.

Che cosa devo fare?

Una versione imminente della patch includerà una mitigazione per questa vulnerabilità.

Media

Cluster Anthos su

Descrizione Gravità

Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di ammissione in convalida.

In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di ammissione di convalida che utilizza le precedenti proprietà dell'oggetto Node (ad esempio campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo che potrebbero compromettere il cluster. Nessuno dei criteri applicati dai controller di ammissione integrati di GKE e Kubernetes è interessato, ma consigliamo ai clienti di controllare eventuali altri webhook di ammissione che hanno installato.

Che cosa devo fare?

Una versione imminente della patch includerà una mitigazione per questa vulnerabilità.

Media

GCP-2021-001

Pubblicato: 28-01-2021
Riferimento: CVE-2021-3156

GKE

Descrizione Gravità

Di recente è stata rilevata una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso shell locale senza privilegi su un sistema con sudo installato per riassegnare i suoi privilegi al root del sistema.

I cluster Google Kubernetes Engine (GKE) non sono interessati da questa vulnerabilità:

  • Gli utenti autorizzati a connetterti a nodi SSH per GKE sono già considerati con privilegi molto elevati e possono utilizzare sudo per ottenere privilegi root in base alla progettazione. La vulnerabilità non restituisce ulteriori percorsi di riassegnazione dei privilegi in questo scenario.
  • La maggior parte dei container di sistema GKE è creata da immagini di base distroless in cui non è installata una shell o un codice sudo. Le altre immagini sono create da un'immagine di base di debian che non contiene sudo. Anche se era presente sudo, l'accesso a sudo all'interno del container non ti consente di accedere all'host a causa del limite del container.

Che cosa devo fare?

Poiché i cluster GKE non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

GKE applica la patch per questa vulnerabilità in una release futura a cadenza regolare.

Nessuno

Cluster Anthos su

Descrizione Gravità

Di recente è stata rilevata una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso shell locale senza privilegi su un sistema con sudo installato per riassegnare i suoi privilegi al root del sistema.

I cluster Anthos su VMware non sono interessati da questa vulnerabilità:

  • Gli utenti autorizzati a usare SSH per accedere ai cluster Anthos sui nodi VMware sono già considerati altamente privilegiati e possono utilizzare sudo per ottenere privilegi radice per progettazione. La vulnerabilità non restituisce ulteriori percorsi di riassegnazione dei privilegi in questo scenario.
  • La maggior parte dei cluster Anthos sui container di sistema VMware è creata da immagini di base distroless in cui non è installata una shell o un file sudo. Le altre immagini sono create da un'immagine di base di debian che non contiene sudo. Anche se era presente sudo, l'accesso a sudo all'interno del container non ti consente di accedere all'host a causa del limite del container.

Che cosa devo fare?

Poiché i cluster Anthos sui cluster VMware non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Per i cluster Anthos su VMware verrà applicata la patch per questa vulnerabilità in una release futura a cadenza regolare.

Nessuno

Cluster Anthos su

Descrizione Gravità

Di recente è stata rilevata una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso shell locale senza privilegi su un sistema con sudo installato per riassegnare i suoi privilegi al root del sistema.

I cluster Anthos su AWS non sono interessati da questa vulnerabilità:

  • Gli utenti autorizzati a connetterti a cluster Anthos su SSH sui nodi AWS sono già considerati altamente privilegiati e possono utilizzare sudo per ottenere privilegi di root per progettazione. La vulnerabilità non restituisce ulteriori percorsi di riassegnazione dei privilegi in questo scenario.
  • La maggior parte dei cluster Anthos sui container di sistema AWS è creata da immagini di base distroless in cui non è installata una shell o un codice sudo. Le altre immagini sono create da un'immagine di base di debian che non contiene sudo. Anche se era presente sudo, l'accesso a sudo all'interno del container non ti consente di accedere all'host a causa del limite del container.

Che cosa devo fare?

Poiché i cluster Anthos sui cluster AWS non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Per i cluster Anthos su AWS verrà applicata la patch per questa vulnerabilità in una release futura a cadenza regolare.

Nessuno

Cluster Anthos su

Descrizione Gravità

Di recente è stata rilevata una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso shell locale senza privilegi su un sistema con sudo installato per riassegnare i suoi privilegi al root del sistema.

I cluster Anthos su Bare Metal non sono interessati da questa vulnerabilità:

  • Gli utenti autorizzati ad accedere ad Anthos su Anthos su nodi Bare Metal sono già considerati con privilegi molto elevati e possono utilizzare sudo per ottenere per impostazione predefinita i privilegi principali. La vulnerabilità non restituisce ulteriori percorsi di riassegnazione dei privilegi in questo scenario.
  • La maggior parte dei container di sistema Anthos su Bare Metal è creata da immagini di base distroless in cui non è installata una shell o un sudo. Le altre immagini sono create da un'immagine di base di debian che non contiene sudo. Anche se era presente sudo, l'accesso a sudo all'interno del container non ti consente di accedere all'host a causa del limite del container.

Che cosa devo fare?

Poiché i cluster Anthos su Bare Metal non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Anthos su Bare Metal applicherà la patch per questa vulnerabilità in una release futura a cadenza regolare.

Nessuno

GCP 2020-015

Pubblicato: 07-12-2020
Ultimo aggiornamento: 22-12-2021
Riferimento: CVE-2020-8554

Aggiornamento 22-12-2021: utilizza gcloud beta anziché il comando gcloud.

Aggiornamento 15-12-2021: aggiunto ulteriore mitigazione per GKE.

GKE

Descrizione Gravità
Aggiornamento: 22-12-2021 Il comando per GKE nella sezione seguente deve utilizzare gcloud beta anziché il comando gcloud.

gcloud beta container clusters update –no-enable-service-externalips

Aggiornamento: 15-12-2021 Per GKE è ora disponibile la seguente mitigazione:
  1. A partire dalla versione 1.21 di GKE, i servizi con IP esterni sono bloccati da un controller di ammissione DenyServiceExternalIPs, abilitato per impostazione predefinita per i nuovi cluster.
  2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con IP esterni utilizzando il comando seguente:
    
    gcloud container clusters update –no-enable-service-externalips
    

Per maggiori informazioni, consulta la pagina sulla protezione della sicurezza del cluster.


Il progetto Kubernetes ha recentemente rilevato una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod nel cluster.

Questa vulnerabilità da sola non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes.

Tutti i cluster Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità.

Che cosa devo fare?

Kubernetes potrebbe dover apportare modifiche di progettazione incompatibili con le versioni precedenti in una versione futura per risolvere la vulnerabilità.

Se molti utenti condividono l'accesso al tuo cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta se applicare nel frattempo una mitigazione. Per ora, l'approccio migliore per mitigare è limitare l'uso degli IP esterni in un cluster. Gli IP esterni non sono una funzionalità di uso comune.

Limita l'utilizzo di IP esterni in un cluster con uno dei seguenti metodi:

  1. Utilizza Anthos Policy Controller o Gatekeeper con questo modello di vincolo e applicalo. Ad esempio:
    
    # Only allow the creation of Services with no
    # ExternalIP or an ExternalIP of 203.0.113.1:
    
    apiVersion: constraints.gatekeeper.sh/v1beta1
    kind: K8sExternalIPs
    metadata:
      name: external-ips
    spec:
      match:
        kinds:
          - apiGroups: [""]
            kinds: ["Service"]
      parameters:
        allowedIPs:
          - "203.0.113.1"
    
  2. Oppure installa un controller di ammissione per impedire l'uso di IP esterni. Il progetto Kubernetes ha fornito un controller di ammissione di esempio per questa attività.

Come indicato nell'annuncio Kubernetes, ai servizi di tipo LoadBalancer non viene fornita alcuna mitigazione perché, per impostazione predefinita, solo agli utenti e ai componenti di sistema con privilegi elevati viene concessa l'autorizzazione container.services.updateStatus, necessaria per sfruttare questa vulnerabilità.

Media

Cluster Anthos su

Descrizione Gravità
Aggiornamento: 22-12-2021 Il comando per GKE nella sezione seguente deve utilizzare gcloud beta anziché il comando gcloud.

gcloud beta container clusters update –no-enable-service-externalips

Aggiornamento: 15-12-2021 Per GKE è ora disponibile la seguente mitigazione:
  1. A partire dalla versione 1.21 di GKE, i servizi con IP esterni sono bloccati da un controller di ammissione DenyServiceExternalIPs, abilitato per impostazione predefinita per i nuovi cluster.
  2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con IP esterni utilizzando il comando seguente:
    
    gcloud container clusters update –no-enable-service-externalips
    

Per maggiori informazioni, consulta la pagina sulla protezione della sicurezza del cluster.


Il progetto Kubernetes ha recentemente rilevato una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod nel cluster.

Questa vulnerabilità da sola non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes.

Tutti i cluster Anthos su VMware sono interessati da questa vulnerabilità.

Che cosa devo fare?

Kubernetes potrebbe dover apportare modifiche di progettazione incompatibili con le versioni precedenti in una versione futura per risolvere la vulnerabilità.

Se molti utenti condividono l'accesso al tuo cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta se applicare nel frattempo una mitigazione. Per ora, l'approccio migliore per mitigare è limitare l'uso degli IP esterni in un cluster. Gli IP esterni non sono una funzionalità di uso comune.

Limita l'utilizzo di IP esterni in un cluster con uno dei seguenti metodi:

  1. Utilizza Anthos Policy Controller o Gatekeeper con questo modello di vincolo e applicalo. Ad esempio:
    
    # Only allow the creation of Services with no
    # ExternalIP or an ExternalIP of 203.0.113.1:
    
    apiVersion: constraints.gatekeeper.sh/v1beta1
    kind: K8sExternalIPs
    metadata:
      name: external-ips
    spec:
      match:
        kinds:
          - apiGroups: [""]
            kinds: ["Service"]
      parameters:
        allowedIPs:
          - "203.0.113.1"
    
  2. Oppure installa un controller di ammissione per impedire l'uso di IP esterni. Il progetto Kubernetes ha fornito un controller di ammissione di esempio per questa attività.

Come indicato nell'annuncio Kubernetes, ai servizi di tipo LoadBalancer non viene fornita alcuna mitigazione perché, per impostazione predefinita, solo agli utenti e ai componenti di sistema con privilegi elevati viene concessa l'autorizzazione container.services.updateStatus, necessaria per sfruttare questa vulnerabilità.

Media

Cluster Anthos su

Descrizione Gravità
Aggiornamento: 22-12-2021 Il comando per GKE nella sezione seguente deve utilizzare gcloud beta anziché il comando gcloud.

gcloud beta container clusters update –no-enable-service-externalips

Aggiornamento: 15-12-2021 Per GKE è ora disponibile la seguente mitigazione:
  1. A partire dalla versione 1.21 di GKE, i servizi con IP esterni sono bloccati da un controller di ammissione DenyServiceExternalIPs, abilitato per impostazione predefinita per i nuovi cluster.
  2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con IP esterni utilizzando il comando seguente:
    
    gcloud container clusters update –no-enable-service-externalips
    

Per maggiori informazioni, consulta la pagina sulla protezione della sicurezza del cluster.


Il progetto Kubernetes ha recentemente rilevato una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod nel cluster.

Questa vulnerabilità da sola non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes.

Tutti i cluster Anthos su AWS sono interessati da questa vulnerabilità.

Che cosa devo fare?

Kubernetes potrebbe dover apportare modifiche di progettazione incompatibili con le versioni precedenti in una versione futura per risolvere la vulnerabilità.

Se molti utenti condividono l'accesso al tuo cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta se applicare nel frattempo una mitigazione. Per ora, l'approccio migliore per mitigare è limitare l'uso degli IP esterni in un cluster. Gli IP esterni non sono una funzionalità di uso comune.

Limita l'utilizzo di IP esterni in un cluster con uno dei seguenti metodi:

  1. Utilizza Anthos Policy Controller o Gatekeeper con questo modello di vincolo e applicalo. Ad esempio:
    
    # Only allow the creation of Services with no
    # ExternalIP or an ExternalIP of 203.0.113.1:
    
    apiVersion: constraints.gatekeeper.sh/v1beta1
    kind: K8sExternalIPs
    metadata:
      name: external-ips
    spec:
      match:
        kinds:
          - apiGroups: [""]
            kinds: ["Service"]
      parameters:
        allowedIPs:
          - "203.0.113.1"
    
  2. Oppure installa un controller di ammissione per impedire l'uso di IP esterni. Il progetto Kubernetes ha fornito un controller di ammissione di esempio per questa attività.

Come indicato nell'annuncio Kubernetes, ai servizi di tipo LoadBalancer non viene fornita alcuna mitigazione perché, per impostazione predefinita, solo agli utenti e ai componenti di sistema con privilegi elevati viene concessa l'autorizzazione container.services.updateStatus, necessaria per sfruttare questa vulnerabilità.

Media

GCP 2020-014

Pubblicata: 2020-10-20
Riferimento: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

GKE

Ultimo aggiornamento: 20-10-2020

Descrizione Gravità

Il progetto Kubernetes ha recentemente rilevato diversi problemi che consentono l'esposizione dei dati segreti quando sono abilitate le opzioni di logging dettagliato. I problemi sono:

  • CVE-2020-8563: Perdita segreta nei log per vSphere Provider kube-controller-manager
  • CVE-2020-8564: i secret di configurazione Docker trapelati quando il file è in un formato non valido e loglevel >= 4
  • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la fuga di token nei log quando logLevel >= 9. Rilevata dalla sicurezza GKE.
  • CVE-2020-8566: Ceph RBD adminSecrets esposti nei log quando loglevel >= 4

GKE non è interessato.

Che cosa devo fare?

Non sono richieste ulteriori azioni a causa dei livelli di logging dettagliati predefiniti di GKE.

Nessuno

Cluster Anthos su

Ultimo aggiornamento: 10-10-2020

Descrizione Gravità

Il progetto Kubernetes ha recentemente rilevato diversi problemi che consentono l'esposizione dei dati segreti quando sono abilitate le opzioni di logging dettagliato. I problemi sono:

  • CVE-2020-8563: Perdita segreta nei log per vSphere Provider kube-controller-manager
  • CVE-2020-8564: i secret di configurazione Docker trapelati quando il file è in un formato non valido e loglevel >= 4
  • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la fuga di token nei log quando logLevel >= 9. Rilevata dalla sicurezza GKE.
  • CVE-2020-8566: Ceph RBD adminSecrets esposti nei log quando loglevel >= 4

I cluster Anthos su VMware non sono interessati.

Che cosa devo fare?

Non sono richieste ulteriori azioni a causa dei livelli di logging dettagliati predefiniti di GKE.

Nessuno

Cluster Anthos su

Ultimo aggiornamento: 20-10-2020

Descrizione Gravità

Il progetto Kubernetes ha recentemente rilevato diversi problemi che consentono l'esposizione dei dati segreti quando sono abilitate le opzioni di logging dettagliato. I problemi sono:

  • CVE-2020-8563: Perdita segreta nei log per vSphere Provider kube-controller-manager
  • CVE-2020-8564: i secret di configurazione Docker trapelati quando il file è in un formato non valido e loglevel >= 4
  • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la fuga di token nei log quando logLevel >= 9. Rilevata dalla sicurezza GKE.
  • CVE-2020-8566: Ceph RBD adminSecrets esposti nei log quando loglevel >= 4

I cluster Anthos su AWS non sono interessati.

Che cosa devo fare?

Non sono richieste ulteriori azioni a causa dei livelli di logging dettagliati predefiniti di GKE.

Nessuno

GCP-2020-012

Pubblicato: 14-09-2020
Riferimento: CVE-2020-14386

GKE

Descrizione Gravità

Di recente è stata rilevata una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire all'escape del container di ottenere privilegi root sul nodo host.

Tutti i nodi GKE sono interessati. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità.

Che cosa devo fare?

Per correggere questa vulnerabilità, esegui l'upgrade del piano di controllo e poi dei nodi a una delle versioni con patch elencate di seguito:

  • 1.14.10-gke.50
  • 1.15.12-gke.20
  • 1.16.13-gke.401
  • 1.17.9-gke.1504
  • 1.18.6-gke.3504

Per sfruttare questa vulnerabilità è necessario un dominio CAP_NET_RAW, ma in genere pochissimi container richiedono CAP_NET_RAW. Questa e altre funzionalità avanzate dovrebbero essere bloccate per impostazione predefinita tramite PodSecurityPolicy o il controller dei criteri:

Rilascia la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

  • Applica il blocco a queste funzionalità con PodSecurityPolicy, ad esempio:
    
        # Require dropping CAP_NET_RAW with a PSP
        apiversion: extensions/v1beta1
        kind: PodSecurityPolicy
        metadata:
          name: no-cap-net-raw
        spec:
          requiredDropCapabilities:
            -NET_RAW
             ...
             # Unrelated fields omitted
  • In alternativa, utilizzando Policy Controller o Gatekeeper con questo modello di vincolo e applicandolo, ad esempio:
    
        # Dropping CAP_NET_RAW with Gatekeeper
        # (requires the K8sPSPCapabilities template)
        apiversion: constraints.gatekeeper.sh/v1beta1
        kind:  K8sPSPCapabilities
        metadata:
          name: forbid-cap-net-raw
        spec:
          match:
            kinds:
              - apiGroups: [""]
              kinds: ["Pod"]
            namespaces:
              #List of namespaces to enforce this constraint on
              - default
            # If running gatekeeper >= v3.1.0-beta.5,
            # you can exclude namespaces rather than including them above.
            excludedNamespaces:
              - kube-system
          parameters:
            requiredDropCapabilities:
              - "NET_RAW"
  • Oppure aggiornando le specifiche del pod:
    
        # Dropping CAP_NET_RAW from a Pod:
        apiVersion: v1
        kind: Pod
        metadata:
          name: no-cap-net-raw
        spec:
          containers:
            -name: my-container
             ...
            securityContext:
              capabilities:
                drop:
                  -NET_RAW

Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria del kernel, ed eventualmente eseguire l'escape del container e ottenere privilegi root sul nodo host. Questa è classificata come vulnerabilità di gravità elevata.

Alte

Cluster Anthos su

Ultimo aggiornamento: 17-09-2020

Descrizione Gravità

Di recente è stata rilevata una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire all'escape del container di ottenere privilegi root sul nodo host.

Tutti i cluster Anthos sui nodi VMware sono interessati.

Che cosa devo fare?

Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni {gke_on_prem_name}} imminenti conterranno la correzione per questa vulnerabilità e questo bollettino verrà aggiornato quando saranno disponibili:

  • Cluster Anthos su VMware 1.4.3, ora disponibili.
  • Cluster Anthos su VMware 1.3.4, ora disponibili.

Per sfruttare questa vulnerabilità è necessario un dominio CAP_NET_RAW, ma in genere pochissimi container richiedono CAP_NET_RAW. Questa e altre funzionalità avanzate dovrebbero essere bloccate per impostazione predefinita tramite PodSecurityPolicy o il controller dei criteri:

Rilascia la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

  • Applica il blocco a queste funzionalità con PodSecurityPolicy, ad esempio:
    
        # Require dropping CAP_NET_RAW with a PSP
        apiversion: extensions/v1beta1
        kind: PodSecurityPolicy
        metadata:
          name: no-cap-net-raw
        spec:
          requiredDropCapabilities:
            -NET_RAW
             ...
             # Unrelated fields omitted
  • In alternativa, utilizzando Policy Controller o Gatekeeper con questo modello di vincolo e applicandolo, ad esempio:
    
        # Dropping CAP_NET_RAW with Gatekeeper
        # (requires the K8sPSPCapabilities template)
        apiversion: constraints.gatekeeper.sh/v1beta1
        kind:  K8sPSPCapabilities
        metadata:
          name: forbid-cap-net-raw
        spec:
          match:
            kinds:
              - apiGroups: [""]
              kinds: ["Pod"]
            namespaces:
              #List of namespaces to enforce this constraint on
              - default
            # If running gatekeeper >= v3.1.0-beta.5,
            # you can exclude namespaces rather than including them above.
            excludedNamespaces:
              - kube-system
          parameters:
            requiredDropCapabilities:
              - "NET_RAW"
  • Oppure aggiornando le specifiche del pod:
    
        # Dropping CAP_NET_RAW from a Pod:
        apiVersion: v1
        kind: Pod
        metadata:
          name: no-cap-net-raw
        spec:
          containers:
            -name: my-container
             ...
            securityContext:
              capabilities:
                drop:
                  -NET_RAW

Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria del kernel, ed eventualmente eseguire l'escape del container e ottenere privilegi root sul nodo host. Questa è classificata come vulnerabilità di gravità elevata.

Alte

Cluster Anthos su

Ultimo aggiornamento: 13-10-2020

Descrizione Gravità

Di recente è stata rilevata una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire all'escape del container di ottenere privilegi root sul nodo host.

Tutti i cluster Anthos sui nodi AWS sono interessati.

Che cosa devo fare?

Per correggere questa vulnerabilità, esegui l'upgrade del tuo servizio di gestione e dei tuoi cluster utente a una versione con patch. I seguenti cluster Anthos su versioni AWS o successive includeranno la correzione per questa vulnerabilità e questo bollettino verrà aggiornato quando saranno disponibili:

  • 1.5.0-gke.6
  • 1.4.3-gke.7

Rilascia la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

  • Applica il blocco a queste funzionalità con PodSecurityPolicy, ad esempio:
    
        # Require dropping CAP_NET_RAW with a PSP
        apiversion: extensions/v1beta1
        kind: PodSecurityPolicy
        metadata:
          name: no-cap-net-raw
        spec:
          requiredDropCapabilities:
            -NET_RAW
             ...
             # Unrelated fields omitted
  • In alternativa, utilizzando Policy Controller o Gatekeeper con questo modello di vincolo e applicandolo, ad esempio:
    
        # Dropping CAP_NET_RAW with Gatekeeper
        # (requires the K8sPSPCapabilities template)
        apiversion: constraints.gatekeeper.sh/v1beta1
        kind:  K8sPSPCapabilities
        metadata:
          name: forbid-cap-net-raw
        spec:
          match:
            kinds:
              - apiGroups: [""]
              kinds: ["Pod"]
            namespaces:
              #List of namespaces to enforce this constraint on
              - default
            # If running gatekeeper >= v3.1.0-beta.5,
            # you can exclude namespaces rather than including them above.
            excludedNamespaces:
              - kube-system
          parameters:
            requiredDropCapabilities:
              - "NET_RAW"
  • Oppure aggiornando le specifiche del pod:
    
        # Dropping CAP_NET_RAW from a Pod:
        apiVersion: v1
        kind: Pod
        metadata:
          name: no-cap-net-raw
        spec:
          containers:
            -name: my-container
             ...
            securityContext:
              capabilities:
                drop:
                  -NET_RAW

Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria del kernel, ed eventualmente eseguire l'escape del container e ottenere privilegi root sul nodo host. Questa è classificata come vulnerabilità di gravità elevata.

Alte

GCP-2020-011

Pubblicato: 24-07-2020
Riferimento: CVE-2020-8558

GKE

Descrizione Gravità

In Kubernetes è stata rilevata di recente una vulnerabilità di rete, CVE-2020-8558. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia di loopback di pod e nodi adiacenti. È possibile utilizzare servizi che dipendono dall'interfaccia di loopback non accessibile al di fuori del loro pod.

Per sfruttare questa vulnerabilità nei cluster GKE è necessario che un utente malintenzionato abbia i privilegi di amministratore di rete su Google Cloud che ospita il VPC del cluster. Questa vulnerabilità da sola non concede privilegi di amministratore di rete aggressivo. Per questo motivo, a questa vulnerabilità è stata assegnata una bassa gravità per GKE.

Che cosa devo fare?

Per correggere questa vulnerabilità, esegui l'upgrade dei pool di nodi del tuo cluster alle seguenti versioni di GKE (e successive):

  • 1.17.7-gke.0
  • 1.16.11-gke.0
  • 1.16.10-gke.11
  • 1.16.9-gke.14

Quale vulnerabilità viene affrontata da questa patch?

Questa patch corregge la seguente vulnerabilità: CVE-2020-8558.

Ridotta

Cluster Anthos su

Descrizione Gravità

In Kubernetes è stata rilevata di recente una vulnerabilità di rete, CVE-2020-8558. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia di loopback di pod e nodi adiacenti. È possibile utilizzare servizi che dipendono dall'interfaccia di loopback non accessibile al di fuori del loro pod.

Che cosa devo fare?

Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. I seguenti prossimi cluster Anthos sulle versioni VMware o successive contengono la correzione per questa vulnerabilità:

  • Cluster Anthos su VMware 1.4.1

Quale vulnerabilità viene affrontata da questa patch?

Questa patch corregge la seguente vulnerabilità: CVE-2020-8558.

Media

Cluster Anthos su

Descrizione Gravità

In Kubernetes è stata rilevata di recente una vulnerabilità di rete, CVE-2020-8558. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia di loopback di pod e nodi adiacenti. È possibile utilizzare servizi che dipendono dall'interfaccia di loopback non accessibile al di fuori del loro pod.

Per sfruttare questa vulnerabilità nei cluster utente, un utente malintenzionato deve disabilitare i controlli della destinazione di origine nelle istanze EC2 nel cluster. Questo richiede che l'utente malintenzionato abbia le autorizzazioni AWS IAM per ModifyInstanceAttribute o ModifyNetworkInterfaceAttribute sulle istanze EC2. Per questo motivo, a questa vulnerabilità è stata assegnata una bassa gravità per i cluster Anthos su AWS.

Che cosa devo fare?

Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. I seguenti cluster Anthos su versioni AWS o successive dovrebbero includere la correzione per questa vulnerabilità:

  • Cluster Anthos su AWS 1.4.1-gke.17

Quale vulnerabilità viene affrontata da questa patch?

Questa patch corregge la seguente vulnerabilità: CVE-2020-8558.

Ridotta

GCP 2020-009

Pubblicato: 15-07-2020
Riferimento: CVE-2020-8559

GKE

Descrizione Gravità

In Kubernetes è stata recentemente rilevata una vulnerabilità di escalation dei privilegi CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato può quindi utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni dannose.

Ricorda che, per impedire a un utente malintenzionato di sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel cluster.

Che cosa devo fare?

Esegui l'upgrade del cluster a una versione con patch. L'upgrade dei cluster verrà eseguito automaticamente nelle prossime settimane e le versioni con patch saranno disponibili entro il 19 luglio 2020 per una pianificazione di upgrade manuale accelerata. Le seguenti versioni del piano di controllo GKE o versioni successive contengono la correzione per questa vulnerabilità:

  • Versione 1.14.10-gke.46
  • Versione 1.15.12-gke.8
  • v1.16.9-gke.11
  • Versione 1.16.10-gke.9
  • Versione 1.16.11-gke.3+
  • Versione 1.17.7-gke.6+

Quale vulnerabilità viene affrontata da questa patch?

Queste patch mitigano la vulnerabilità CVE-2020-8559. Questa è classificata come Media vulnerabilità per GKE, in quanto richiede all'utente malintenzionato di avere informazioni di prima mano sul cluster, sui nodi e sui carichi di lavoro per sfruttare in modo efficace questo attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità da sola non fornisce a un utente malintenzionato un nodo compromesso.

Media

Cluster Anthos su

Descrizione Gravità

In Kubernetes è stata recentemente rilevata una vulnerabilità di escalation dei privilegi CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato può quindi utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni dannose.

Ricorda che, per impedire a un utente malintenzionato di sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel cluster.

Che cosa devo fare?

Esegui l'upgrade del cluster a una versione con patch. I seguenti prossimi cluster Anthos sulle versioni VMware o successive contengono la correzione per questa vulnerabilità:

  • Anthos 1.3.3
  • Anthos 1.4.1

Quale vulnerabilità viene affrontata da questa patch?

Queste patch mitigano la vulnerabilità CVE-2020-8559. Questa è classificata come Media vulnerabilità per GKE, in quanto richiede all'utente malintenzionato di avere informazioni di prima mano sul cluster, sui nodi e sui carichi di lavoro per sfruttare in modo efficace questo attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità da sola non fornisce a un utente malintenzionato un nodo compromesso.

Media

Cluster Anthos su

Descrizione Gravità

In Kubernetes è stata recentemente rilevata una vulnerabilità di escalation dei privilegi CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato può quindi utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni dannose.

Ricorda che, per impedire a un utente malintenzionato di sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel cluster.

Che cosa devo fare?

I cluster Anthos su AWS GA (1.4.1, disponibile a fine luglio 2020) o versioni successive include la patch per questa vulnerabilità. Se stai utilizzando una versione precedente, scarica una nuova versione dello strumento a riga di comando anthos-gke e ricrea i tuoi cluster di gestione e utenti.

Quale vulnerabilità viene affrontata da questa patch?

Queste patch mitigano la vulnerabilità CVE-2020-8559. Questa è classificata come Media vulnerabilità per GKE, in quanto richiede all'utente malintenzionato di avere informazioni di prima mano sul cluster, sui nodi e sui carichi di lavoro per sfruttare in modo efficace questo attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità da sola non fornisce a un utente malintenzionato un nodo compromesso.

Media

GCP-2020-007

Pubblicato: 01-06-2020
Riferimento: CVE-2020-8555

GKE

Descrizione Gravità

La vulnerabilità Server Side Request Forgery (SSRF), CVE-2020-8555, è stata recentemente scoperta in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete dell'host del piano di controllo. Il piano di controllo di Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e viene quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo all'ultima versione della patch, come descritto di seguito. Non è necessario eseguire l'upgrade di un nodo.

Che cosa devo fare?

Per la maggior parte dei clienti non sono richieste ulteriori azioni. La maggior parte dei cluster esegue già una versione con patch. Le seguenti versioni di GKE o versioni successive contengono la correzione per questa vulnerabilità:
  • 1.14.7-gke.39
  • 1.14.8-gke.32
  • 1.14.9-gke.17
  • 1.14.10-gke.12
  • 1.15.7-gke.17
  • 1.16.4-gke.21
  • 1.17.0-gke.0

I cluster che utilizzano i canali di rilascio sono già in versione del piano di controllo con mitigazione.

Quale vulnerabilità viene affrontata da questa patch?

Queste patch mitigano la vulnerabilità CVE-2020-8555. Questa è classificata come una vulnerabilità di livello medio per GKE, poiché è stata difficile da sfruttare a causa di varie misure di protezione del piano di controllo.

Un utente malintenzionato con autorizzazioni per creare un pod con determinati tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o con autorizzazioni per la creazione di un oggetto StorageClass può causare l'invio di richieste da parte di kube-controller-manager o richieste GET senza un corpo di richiesta controllato da un utente malintenzionato dalla rete host del master. Questi tipi di volumi vengono utilizzati raramente su GKE, quindi il nuovo utilizzo di questi tipi di volume potrebbe essere un indicatore di rilevamento utile.

Combinato con un mezzo per divulgare i risultati di GET/POST al malintenzionato, ad esempio tramite i log, può portare alla divulgazione di informazioni sensibili. Abbiamo aggiornato i driver di archiviazione in questione per rimuovere potenziali perdite.

Media

Cluster Anthos su

Descrizione Gravità

La vulnerabilità Server Side Request Forgery (SSRF), CVE-2020-8555, è stata recentemente scoperta in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete dell'host del piano di controllo. Il piano di controllo di Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e viene quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo all'ultima versione della patch, come descritto di seguito. Non è necessario eseguire l'upgrade di un nodo.

Che cosa devo fare?

Le seguenti versioni di Cluster Anthos su VMware (GKE On-Prem) o versioni successive contengono la correzione per questa vulnerabilità:

  • Anthos 1.3.0

Se utilizzi una versione precedente, esegui l'upgrade del cluster esistente a una versione contenente la correzione.

Quale vulnerabilità viene affrontata da questa patch?

Queste patch mitigano la vulnerabilità CVE-2020-8555. Questa è classificata come una vulnerabilità di livello medio per GKE, poiché è stata difficile da sfruttare a causa di varie misure di protezione del piano di controllo.

Un utente malintenzionato con autorizzazioni per creare un pod con determinati tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o con autorizzazioni per la creazione di un oggetto StorageClass può causare l'invio di richieste da parte di kube-controller-manager o richieste GET senza un corpo di richiesta controllato da un utente malintenzionato dalla rete host del master. Questi tipi di volumi vengono utilizzati raramente su GKE, quindi il nuovo utilizzo di questi tipi di volume potrebbe essere un indicatore di rilevamento utile.

Combinato con un mezzo per divulgare i risultati di GET/POST al malintenzionato, ad esempio tramite i log, può portare alla divulgazione di informazioni sensibili. Abbiamo aggiornato i driver di archiviazione in questione per rimuovere potenziali perdite.

Media

Cluster Anthos su

Descrizione Gravità

La vulnerabilità Server Side Request Forgery (SSRF), CVE-2020-8555, è stata recentemente scoperta in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete dell'host del piano di controllo. Il piano di controllo di Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e viene quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo all'ultima versione della patch, come descritto di seguito. Non è necessario eseguire l'upgrade di un nodo.

Che cosa devo fare?

I cluster Anthos su AWS (GKE su AWS) v0.2.0 o versioni successive includono già la patch per questa vulnerabilità. Se stai utilizzando una versione precedente, scarica una nuova versione dello strumento a riga di comando anthos-gke e ricrea i tuoi cluster di gestione e utenti.

Quale vulnerabilità viene affrontata da questa patch?

Queste patch mitigano la vulnerabilità CVE-2020-8555. Questa è classificata come una vulnerabilità di livello medio per GKE, poiché è stata difficile da sfruttare a causa di varie misure di protezione del piano di controllo.

Un utente malintenzionato con autorizzazioni per creare un pod con determinati tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o con autorizzazioni per la creazione di un oggetto StorageClass può causare l'invio di richieste da parte di kube-controller-manager o richieste GET senza un corpo di richiesta controllato da un utente malintenzionato dalla rete host del master. Questi tipi di volumi vengono utilizzati raramente su GKE, quindi il nuovo utilizzo di questi tipi di volume potrebbe essere un indicatore di rilevamento utile.

Combinato con un mezzo per divulgare i risultati di GET/POST al malintenzionato, ad esempio tramite i log, può portare alla divulgazione di informazioni sensibili. Abbiamo aggiornato i driver di archiviazione in questione per rimuovere potenziali perdite.

Media

GCP-2020-006

Pubblicato: 1-06-2020
Riferimento: problema di Kubernetes 91507

GKE

Descrizione Gravità

Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Il traffico reciproco TLS/SSH, ad esempio tra il kubelet e il server API o il traffico da applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito.

Che cosa devo fare?

Per mitigare questa vulnerabilità, esegui l'upgrade del tuo piano di controllo e poi dei nodi a una delle versioni con patch elencate di seguito. Nei cluster sui canali di rilascio è già in esecuzione una versione con patch sia sul piano di controllo che sui nodi:
  • 1.14.10-gke.36
  • 1.15.11-gke.15
  • 1.16.8-gke.15

Pochissimi container in genere richiedono CAP_NET_RAW. Questa e altre funzionalità avanzate dovrebbero essere bloccate per impostazione predefinita tramite PodSecurityPolicy o Anthos Policy Controller:

Rilascia la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

  • Applica il blocco a queste funzionalità con PodSecurityPolicy, ad esempio:
    
        # Require dropping CAP_NET_RAW with a PSP
        apiversion: extensions/v1beta1
        kind: PodSecurityPolicy
        metadata:
          name: no-cap-net-raw
        spec:
          requiredDropCapabilities:
            -NET_RAW
             ...
             # Unrelated fields omitted
  • In alternativa, utilizzando Policy Controller o Gatekeeper con questo modello di vincolo e applicandolo, ad esempio:
    
        # Dropping CAP_NET_RAW with Gatekeeper
        # (requires the K8sPSPCapabilities template)
        apiversion: constraints.gatekeeper.sh/v1beta1
        kind:  K8sPSPCapabilities
        metadata:
          name: forbid-cap-net-raw
        spec:
          match:
            kinds:
              - apiGroups: [""]
              kinds: ["Pod"]
            namespaces:
              #List of namespaces to enforce this constraint on
              - default
            # If running gatekeeper >= v3.1.0-beta.5,
            # you can exclude namespaces rather than including them above.
            excludedNamespaces:
              - kube-system
          parameters:
            requiredDropCapabilities:
              - "NET_RAW"
  • Oppure aggiornando le specifiche del pod:
    
        # Dropping CAP_NET_RAW from a Pod:
        apiVersion: v1
        kind: Pod
        metadata:
          name: no-cap-net-raw
        spec:
          containers:
            -name: my-container
             ...
            securityContext:
              capabilities:
                drop:
                  -NET_RAW

Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità descritta nella funzionalità Problema di Kubernetes 91507 CAP_NET_RAW (che è inclusa nel set di funzionalità del container predefinito) per configurare in modo dannoso lo stack IPv6 sul nodo e reindirizzare il traffico del nodo al container controllato dall'utente malintenzionato. Ciò consentirà all'utente malintenzionato di intercettare/modificare il traffico proveniente da o destinato al nodo. Il traffico reciproco TLS/SSH, ad esempio tra il kubelet e il server API o il traffico proveniente dalle applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco.

Media

Cluster Anthos su

Descrizione Gravità

Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Il traffico reciproco TLS/SSH, ad esempio tra il kubelet e il server API o il traffico da applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito.

Che cosa devo fare?

Per mitigare questa vulnerabilità per i cluster Anthos su VMware (GKE On-Prem), esegui l'upgrade dei cluster alla versione seguente o successiva:
  • Anthos 1.3.2

Pochissimi container in genere richiedono CAP_NET_RAW. Questa e altre funzionalità avanzate dovrebbero essere bloccate per impostazione predefinita tramite Anthos Policy Controller o aggiornando le specifiche del pod:

Rilascia la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

  • Applica il blocco a queste funzionalità con PodSecurityPolicy, ad esempio:
    
        # Require dropping CAP_NET_RAW with a PSP
        apiversion: extensions/v1beta1
        kind: PodSecurityPolicy
        metadata:
          name: no-cap-net-raw
        spec:
          requiredDropCapabilities:
            -NET_RAW
             ...
             # Unrelated fields omitted
  • In alternativa, utilizzando Policy Controller o Gatekeeper con questo modello di vincolo e applicandolo, ad esempio:
    
        # Dropping CAP_NET_RAW with Gatekeeper
        # (requires the K8sPSPCapabilities template)
        apiversion: constraints.gatekeeper.sh/v1beta1
        kind:  K8sPSPCapabilities
        metadata:
          name: forbid-cap-net-raw
        spec:
          match:
            kinds:
              - apiGroups: [""]
              kinds: ["Pod"]
            namespaces:
              #List of namespaces to enforce this constraint on
              - default
            # If running gatekeeper >= v3.1.0-beta.5,
            # you can exclude namespaces rather than including them above.
            excludedNamespaces:
              - kube-system
          parameters:
            requiredDropCapabilities:
              - "NET_RAW"
  • Oppure aggiornando le specifiche del pod:
    
        # Dropping CAP_NET_RAW from a Pod:
        apiVersion: v1
        kind: Pod
        metadata:
          name: no-cap-net-raw
        spec:
          containers:
            -name: my-container
             ...
            securityContext:
              capabilities:
                drop:
                  -NET_RAW

Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità descritta nella funzionalità Problema di Kubernetes 91507 CAP_NET_RAW (che è inclusa nel set di funzionalità del container predefinito) per configurare in modo dannoso lo stack IPv6 sul nodo e reindirizzare il traffico del nodo al container controllato dall'utente malintenzionato. Ciò consentirà all'utente malintenzionato di intercettare/modificare il traffico proveniente da o destinato al nodo. Il traffico reciproco TLS/SSH, ad esempio tra il kubelet e il server API o il traffico proveniente dalle applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco.

Media

Cluster Anthos su

Descrizione Gravità

Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Il traffico reciproco TLS/SSH, ad esempio tra il kubelet e il server API o il traffico da applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito.

Che cosa devo fare?

Scarica lo strumento a riga di comando anthos-gke con la versione seguente o successiva e ricrea i cluster di gestione e utente:

  • aws-0.2.1-gke.7

Pochissimi container in genere richiedono CAP_NET_RAW. Questa e altre funzionalità avanzate dovrebbero essere bloccate per impostazione predefinita tramite Anthos Policy Controller o aggiornando le specifiche del pod:

Rilascia la funzionalità CAP_NET_RAW dai container con uno dei seguenti metodi:

  • Applica il blocco a queste funzionalità con PodSecurityPolicy, ad esempio:
    
        # Require dropping CAP_NET_RAW with a PSP
        apiversion: extensions/v1beta1
        kind: PodSecurityPolicy
        metadata:
          name: no-cap-net-raw
        spec:
          requiredDropCapabilities:
            -NET_RAW
             ...
             # Unrelated fields omitted
  • In alternativa, utilizzando Policy Controller o Gatekeeper con questo modello di vincolo e applicandolo, ad esempio:
    
        # Dropping CAP_NET_RAW with Gatekeeper
        # (requires the K8sPSPCapabilities template)
        apiversion: constraints.gatekeeper.sh/v1beta1
        kind:  K8sPSPCapabilities
        metadata:
          name: forbid-cap-net-raw
        spec:
          match:
            kinds:
              - apiGroups: [""]
              kinds: ["Pod"]
            namespaces:
              #List of namespaces to enforce this constraint on
              - default
            # If running gatekeeper >= v3.1.0-beta.5,
            # you can exclude namespaces rather than including them above.
            excludedNamespaces:
              - kube-system
          parameters:
            requiredDropCapabilities:
              - "NET_RAW"
  • Oppure aggiornando le specifiche del pod:
    
        # Dropping CAP_NET_RAW from a Pod:
        apiVersion: v1
        kind: Pod
        metadata:
          name: no-cap-net-raw
        spec:
          containers:
            -name: my-container
             ...
            securityContext:
              capabilities:
                drop:
                  -NET_RAW

Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità descritta nella funzionalità Problema di Kubernetes 91507 CAP_NET_RAW (che è inclusa nel set di funzionalità del container predefinito) per configurare in modo dannoso lo stack IPv6 sul nodo e reindirizzare il traffico del nodo al container controllato dall'utente malintenzionato. Ciò consentirà all'utente malintenzionato di intercettare/modificare il traffico proveniente da o destinato al nodo. Il traffico reciproco TLS/SSH, ad esempio tra il kubelet e il server API o il traffico proveniente dalle applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco.

Media

GCP-2020-005

Pubblicato: 07-05-2020
Ultimo aggiornamento: 07-05-2020
Riferimento: CVE-2020-8835

GKE

Descrizione Gravità

Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host.

I nodi di Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile, come descritto di seguito.

I nodi che eseguono Container-Optimized OS non sono interessati. I nodi in esecuzione sui cluster Anthos su VMware non sono interessati.

Che cosa devo fare?

Per la maggior parte dei clienti non sono necessari ulteriori interventi. Solo i nodi che eseguono Ubuntu nelle versioni 1.16 o 1.17 di GKE sono interessati.

Per eseguire l'upgrade dei nodi, devi prima eseguire l'upgrade del master alla versione più recente. Questa patch sarà disponibile in Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 e release successive. Traccia la disponibilità di queste patch nelle note di rilascio.

Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

CVE-2020-8835 descrive una vulnerabilità nelle versioni kernel Linux 5.5.0 e successive che permette a un container dannoso di leggere e scrivere (con minima interazione dell'utente sotto forma di file eseguibile) la memoria del kernel, ottenendo così la possibilità di eseguire codice a livello di utente root sul nodo host. Questa è classificata come vulnerabilità di gravità "Alta".

Alte

GCP-2020-004

Pubblicata: 07-05-2020
Aggiornamento: 07-05-2020
Riferimento: CVE-2019-11254

Cluster Anthos su

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità in Kubernetes, descritta in CVE-2019-11254, che consente a qualsiasi utente autorizzato a inviare richieste POST di eseguire un attacco denial of service remoto contro un server API Kubernetes. Il Kubernetes Product Security Committee (PSC) ha pubblicato ulteriori informazioni su questa vulnerabilità, disponibili qui.

Puoi mitigare questa vulnerabilità limitando i client che hanno accesso di rete ai server API di Kubernetes.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade dei cluster alle versioni patch che contengono la correzione di questa vulnerabilità non appena disponibile.

Di seguito sono elencate le versioni della patch che contengono la correzione:

  • Anthos 1.3.0, che esegue Kubernetes versione 1.15.7-gke.32

Quali vulnerabilità vengono affrontate da questa patch?

La patch corregge la seguente vulnerabilità Denial of Service (DoS):

CVE-2019-11254.

Media

GCP-2020-003

Pubblicato: 31-03-2020
Ultimo aggiornamento: 31-03-2020
Riferimento: CVE-2019-11254

GKE

Descrizione Gravità

Di recente è stata scoperta una vulnerabilità in Kubernetes, descritta in CVE-2019-11254, che consente a qualsiasi utente autorizzato a inviare richieste POST di eseguire un attacco denial of service remoto contro un server API Kubernetes. Il Kubernetes Product Security Committee (PSC) ha pubblicato ulteriori informazioni su questa vulnerabilità, disponibili qui.

I cluster GKE che utilizzano le reti autorizzate master e i cluster privati senza endpoint pubblico mitigano questa vulnerabilità.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade del cluster a una versione patch che contenga la correzione di questa vulnerabilità.

Di seguito sono elencate le versioni della patch che contengono la correzione:

  • 1.13.12-gke.29
  • 1.14.9-gke.27
  • 1.14.10-gke.24
  • 1.15.9-gke.20
  • 1.16.6-gke.1

Quali vulnerabilità vengono affrontate da questa patch?

La patch corregge la seguente vulnerabilità Denial of Service (DoS):

CVE-2019-11254.

Media

GCP-2020-002

Pubblicato: 23-03-2020
Ultimo aggiornamento: 23-03-2020
Riferimento: CVE-2020-8551, CVE-2020-8552

GKE

Descrizione Gravità

Kubernetes ha divulgato due vulnerabilità denial of service, una con conseguenze sul server API, l'altra sui Kubelet. Per ulteriori dettagli, consulta i problemi di Kubernetes: 89377 e 89378.

Che cosa devo fare?

Tutti gli utenti di GKE sono protetti da CVE-2020-8551 a meno che gli utenti non attendibili non possano inviare richieste nella rete interna del cluster. L'utilizzo di reti autorizzate master riduce ulteriormente i rischi di CVE-2020-8552.

Quando verranno applicate le patch?

Le patch per CVE-2020-8551 richiedono un upgrade del nodo. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:

  • 1.15.10-gke.*
  • 1.16.7-gke.*

Le patch per CVE-2020-8552 richiedono un upgrade del master. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:

  • 1.14.10-gke.32
  • 1.15.10-gke.*
  • 1.16.7-gke.*
Media

21 gennaio 2020

Pubblicato: 21-01-2020
Ultimo aggiornamento: 24-01-2020
Riferimento: CVE-2019-11254

GKE

Descrizione Gravità

Aggiornamento 24-01-2020: la messa a disposizione di versioni con patch è già in corso e sarà completata entro il 25 gennaio 2020.


Microsoft ha divulgato una vulnerabilità nell'API Windows Crypto e la sua convalida delle firme a curva ellittica. Per ulteriori informazioni, consulta la divulgazione di Microsoft.

Che cosa devo fare?

Per la maggior parte dei clienti non sono necessari ulteriori interventi. Sono interessati solo i nodi in esecuzione su Windows Server.

Per i clienti che utilizzano i nodi Windows Server, sia questi ultimi che i carichi di lavoro containerizzati eseguiti su tali nodi devono essere aggiornati a versioni con patch per mitigare questa vulnerabilità.

Per aggiornare i container:

Ricostruisci i tuoi container utilizzando le immagini container di base di Microsoft più recenti, selezionando un tag servercore o nanoserver con un LastUpdated Time pari a 1/14/2020 o successivo.

Per aggiornare i nodi:

La messa a disposizione di versioni con patch è già in corso e sarà completata entro il 24 gennaio 2020.

Puoi attendere fino a quel momento ed eseguire un upgrade del nodo a una versione di GKE con patch oppure puoi utilizzare Windows Update per eseguire manualmente il deployment della più recente patch di Windows in qualsiasi momento.

Di seguito sono elencate le versioni di patch che conterranno la mitigazione:

  • 1.14.7-gke.40
  • 1.14.8-gke.33
  • 1.14.9-gke.23
  • 1.14.10-gke.17
  • 1.15.7-gke.23
  • 1.16.4-gke.22

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua le seguenti vulnerabilità:

CVE-2020-0601 - Questa vulnerabilità è anche nota come vulnerabilità spoofing dell'API Windows Crypto e può essere sfruttata per fare apparire come attendibili eseguibili dannosi o permettere a un utente malintenzionato di condurre attacchi man in the middle e decriptare informazioni riservate su connessioni TLS al software interessato.

Punteggio base NVD: 8,1 (Alta)

Bollettini sulla sicurezza archiviati

Per i bollettini di sicurezza precedenti al 2020, consulta l'archivio Bollettini sulla sicurezza.