Você está visualizando a documentação de uma versão anterior do GKE On-Prem. Veja a documentação mais recente.

Boletins de segurança

Todos os boletins de segurança do GKE On-Prem estão descritos neste tópico.

Geralmente, as vulnerabilidades são mantidas sob sigilo e não podem ser divulgadas até que as partes afetadas tenham a oportunidade de solucioná-las. Nesses casos, as notas de lançamento do GKE On-Prem mencionarão "atualizações de segurança" até que a divulgação seja liberada. No momento da liberação, as notas serão atualizadas para indicar a vulnerabilidade solucionada pelo patch.

Para receber os boletins de segurança mais recentes, adicione o URL desta página ao seu leitor de feeds (em inglês).

23 de agosto de 2019

Descrição Gravidade Notas

Descobrimos e mitigamos uma vulnerabilidade em que o proxy RBAC, usado para proteger os endpoints de monitoramento, não autorizou corretamente os usuários. Consequentemente, as métricas de determinados componentes estão disponíveis para usuários não autorizados na rede interna do cluster. Os seguintes componentes foram afetados:

  • etcd
  • etcd-events
  • kube-apiserver
  • kube-controller-manager
  • kube-scheduler
  • node-exporter
  • kube-state-metrics
  • prometheus
  • alertmanager
O que fazer?

Recomendamos fazer upgrade dos clusters para a versão 1.0.2-gke.3, que inclui o patch dessa vulnerabilidade, o mais rápido possível.

Média

Versões do GKE On-Prem

22 de agosto de 2019

Descrição Gravidade Notas

Recentemente, o Kubernetes descobriu uma vulnerabilidade, a CVE-2019-11247, que possibilita que instâncias de recursos personalizados com escopo no cluster sejam usadas como se fossem objetos de namespaces existentes em todos os namespaces. Isso significa que contas de usuários e de serviço com permissões apenas do RBAC de nível namespace podem interagir com recursos personalizados com escopo no cluster. A exploração dessa vulnerabilidade exige que o invasor tenha privilégios para acessar o recurso no namespace.

O que fazer?

Recomendamos fazer upgrade dos clusters para a versão 1.0.2-gke.3, que inclui o patch dessa vulnerabilidade, o mais rápido possível.

Qual vulnerabilidade é corrigida pelo patch?

O patch reduz a seguinte vulnerabilidade: CVE-2019-11247.

Média

CVE-2019-11247