Auf dieser Seite werden alle Sicherheitsbulletins für die folgenden Produkte beschrieben:
- Google Kubernetes Engine (GKE)
- GKE on VMware
- GKE on AWS
- GKE in Azure
- GKE on Bare Metal
Sicherheitslücken werden häufig geheim gehalten, bis die betroffenen Parteien die Möglichkeit hatten, sie zu beheben. In diesen Fällen wird in den Versionshinweisen von "Security Updates" (Sicherheitsupdates) gesprochen, bis die Geheimhaltungsverpflichtung aufgehoben wurde. Sobald dies geschehen ist, werden die Hinweise mit Informationen über die durch den Patch behobene Sicherheitslücke aktualisiert.
Wenn GKE ein Sicherheitsbulletin ausgibt, das sich direkt auf Ihre Clusterkonfiguration oder -version bezieht, senden wir Ihnen möglicherweise eine SecurityBulletinEvent-Clusterbenachrichtigung mit Informationen über die Sicherheitslücke und Maßnahmen, die Sie gegebenenfalls ergreifen können. Informationen zum Einrichten von Clusterbenachrichtigungen finden Sie unter Clusterbenachrichtigungen.
Weitere Informationen dazu, wie Google Sicherheitslücken und Patches für GKE und GKE Enterprise handhabt, finden Sie unter Sicherheitspatches.
GKE- und GKE Enterprise-Plattformen verwenden keine Komponenten wie ingress-nginx und die CRI-O-Containerlaufzeit und sind von Sicherheitslücken in diesen Komponenten nicht betroffen. Lesen Sie die Sicherheitsupdates und Patchpatches für diese Komponenten an der Quelle, wenn Sie Komponenten aus anderen Quellen installieren.
Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren.
GCP-2024-022
Veröffentlicht: 03.04.2024
Referenz: CVE-2023-45288
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, darunter auch auf dem von Kubernetes verwendeten golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch den Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen. GKE Autopilot- und Standardcluster sind betroffen. Wie gehe ich am besten vor?Für das golang-Projekt wurden am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie einen Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Sie können das umgehen, indem Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene konfigurieren:Sie können Ihre Cluster vor dieser Angriffsklasse abschwächen, indem Sie autorisierte Netzwerke konfigurieren. Folgen Sie der Anleitung zum Aktivieren autorisierter Netzwerke für einen vorhandenen Cluster. Weitere Informationen dazu, wie autorisierte Netzwerke den Zugriff auf die Steuerungsebene steuern, finden Sie unter Funktionsweise autorisierter Netzwerke. Den standardmäßigen autorisierten Netzwerkzugriff finden Sie in der Tabelle im Abschnitt Zugriff auf Endpunkte der Steuerungsebene. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, darunter auch auf dem von Kubernetes verwendeten golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. Wie gehe ich am besten vor?Für das golang-Projekt wurden am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on VMware-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie einen Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, darunter auch auf dem von Kubernetes verwendeten golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. Wie gehe ich am besten vor?Für das golang-Projekt wurden am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on AWS-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie einen Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, darunter auch auf dem von Kubernetes verwendeten golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. Wie gehe ich am besten vor?Für das golang-Projekt wurden am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on Azure-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie einen Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, darunter auch auf dem von Kubernetes verwendeten golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. Wie gehe ich am besten vor?Für das golang-Projekt wurden am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on Bare Metal-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie einen Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GCP-2024-018
Veröffentlicht: 12.03.2024
Aktualisiert: 04.04.2024
Referenz:
CVE-2024-1085
Aktualisierung vom 04. April 2024 : Die Mindestversionen für GKE Container-Optimized OS-Knotenpools wurden korrigiert.
GKE
Aktualisiert : 04.04.2024
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 4. April 2024:Die Mindestversionen für GKE Container-Optimized OS-Knotenpools wurden korrigiert. Die GKE-Mindestversionen mit den zuvor aufgeführten Korrekturen für Container-Optimized OS waren falsch. Die folgenden GKE-Versionen werden mit Code aktualisiert, um diese Sicherheitslücke unter Container-Optimized OS zu schließen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf die folgenden Versionen oder höher:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2024-017
Veröffentlicht: 06.03.2024
Referenz:
CVE-2023-3611
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2024-014
Veröffentlicht: 26.02.2024
Referenz:
CVE-2023-3776
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2024-013
Veröffentlicht: 23.02.2024
Referenz:
CVE-2023-3610
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2024-012
Veröffentlicht: 20.02.2024
Referenz:
CVE-2024-0193
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2024-011
Veröffentlicht: 15.02.2024
Referenz:
CVE-2023-6932
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2024-010
Veröffentlicht: 14.02.2024
Referenz:
CVE-2023-6931
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2024-008
Veröffentlicht: 12.02.2024
Referenz: CVE-2023-5528
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird. GKE-Standardcluster, auf denen Windows Server-Knoten ausgeführt werden und die ein integriertes Speicher-Plug-in verwenden, sind möglicherweise betroffen. GKE Autopilot-Cluster und GKE-Knotenpools, die GKE Sandbox verwenden, sind nicht betroffen, da sie keine Windows Server-Knoten unterstützen. Wie gehe ich am besten vor?Ermitteln Sie, ob auf Ihren Clustern Windows Server-Knoten verwendet werden: kubectl get nodes -l kubernetes.io/os=windows Prüfen Sie Audit-Logs auf Hinweise auf eine Ausnutzung. Kubernetes-Audit-Logs können geprüft werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wird. Erstellungsereignisse von nichtflüchtigen Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf eine mögliche Ausnutzung. Aktualisieren Sie Ihren GKE-Cluster und die Knotenpools auf eine Patchversion. Die folgenden Versionen von GKE wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir ein manuelles Upgrade des Clusters und der Windows Server-Knotenpools auf eine der folgenden GKE-Versionen oder höher:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird. GKE on VMware-Cluster, auf denen Windows Server-Knoten ausgeführt werden und die ein integriertes Speicher-Plug-in verwenden, sind möglicherweise betroffen. Wie gehe ich am besten vor?Ermitteln Sie, ob auf Ihren Clustern Windows Server-Knoten verwendet werden: kubectl get nodes -l kubernetes.io/os=windows Prüfen Sie Audit-Logs auf Hinweise auf eine Ausnutzung. Kubernetes-Audit-Logs können geprüft werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wird. Erstellungsereignisse von nichtflüchtigen Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf eine mögliche Ausnutzung. Aktualisieren Sie den GKE on VMware-Cluster und die Knotenpools auf eine Patchversion. Die folgenden Versionen von GKE on VMware wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir ein manuelles Upgrade des Clusters und der Windows Server-Knotenpools auf eine der folgenden GKE on VMware-Versionen oder höher:
Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird. GKE on AWS-Cluster sind nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird. GKE on Azure-Cluster sind nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird. GKE on Bare Metal-Cluster sind nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen |
Keine |
GCP-2024-005
Veröffentlicht: 31.01.2024
Zuletzt aktualisiert: 02.04.2024
Referenz: CVE-2024-21626
Update vom 2. April 2024: Patchversionen für GKE on Bare Metal hinzugefügt
Update vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt.
Update vom 28.02.2024: Patchversionen für Ubuntu wurden hinzugefügt
Update 2024-02-15: Es wurde klargestellt, dass Patches von 1.25 in Ubuntu 1.25 fehlerhaft sind.
Update vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt
Update vom 06.02.2024: Patchversionen für Container-Optimized OS wurden hinzugefügt.
GKE
Aktualisiert : 06.03.2024
| Beschreibung | Schweregrad |
|---|---|
|
In GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 28.02.2024: Die folgenden Versionen von GKE wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:
Update vom 15.02.2024: Aufgrund eines Problems können die folgenden Ubuntu-Patchversionen aus dem Update vom 14.02.2024 dazu führen, dass Ihre Knoten fehlerhaft sind. Führen Sie kein Upgrade auf die folgenden Patchversionen durch. Wir aktualisieren dieses Bulletin, sobald neuere Patchversionen für Ubuntu für 1.25 und 1.26 verfügbar sind.
Wenn Sie bereits ein Upgrade auf eine dieser Patchversionen durchgeführt haben, führen Sie ein manuelles Downgrade des Knotenpools auf eine frühere Version in Ihrer Release-Version durch. Aktualisierung vom 14. Februar 2024: Die folgenden Versionen von GKE wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:
Aktualisierung vom 06.02.2024: Die folgenden Versionen von GKE wurden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, sollten Sie aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools von Container-Optimized OS auf eine der folgenden GKE-Versionen oder höher ausführen:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. Wir aktualisieren die GKE mit Code, um diese Sicherheitslücke zu schließen. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on VMware
Aktualisiert : 06.03.2024
| Beschreibung | Schweregrad |
|---|---|
|
In Wie gehe ich am besten vor?Aktualisierung vom 06.03.2024: Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie für Ihre Cluster ein Upgrade auf eine der folgenden Versionen oder höher aus:
Patchversionen und eine Schweregradbewertung für GKE on VMware werden ausgeführt. Wir aktualisieren dieses Bulletin mit den Informationen, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
In Wie gehe ich am besten vor?Patchversionen und eine Schweregradbewertung für GKE on AWS werden gerade ausgeführt. Wir aktualisieren dieses Bulletin mit den Informationen, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
In Wie gehe ich am besten vor?Patchversionen und eine Schweregradbewertung für GKE on Azure werden ausgeführt. Wir aktualisieren dieses Bulletin mit den Informationen, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on Bare Metal
Aktualisiert : 02.04.2024
| Beschreibung | Schweregrad |
|---|---|
|
In Wie gehe ich am besten vor?Aktualisierung vom 2. April 2024: Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie für Ihre Cluster ein Upgrade auf eine der folgenden Versionen oder höher aus:
Patchversionen und eine Schweregradbewertung für GKE on Bare Metal werden ausgeführt. Wir aktualisieren dieses Bulletin mit den Informationen, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GCP-2024-004
Veröffentlicht: 24.01.2024
Aktualisiert: 07.02.2024
Referenz:
CVE-2023-6817
Update vom 07.02.2024 : Patchversionen für Ubuntu wurden hinzugefügt.
GKE
Aktualisiert : 07.02.2024
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 07.02.2024:Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2024-003
Veröffentlicht: 19.01.2024
Aktualisiert: 26.01.2024
Update vom 26.01.2024: Die Anzahl der betroffenen Cluster und die Maßnahmen, die wir ergriffen haben, um deren Auswirkungen zu verringern, wurden klarer formuliert.
GKE
Aktualisiert : 26.01.2024
| Beschreibung | Schweregrad |
|---|---|
|
Update vom 26.01.2024: Sicherheitsstudien, die festgestellt haben, dass eine geringe Anzahl von GKE-Clustern mit einer vom Kunden erstellten Fehlkonfiguration der Gruppe Es wurden mehrere Cluster gefunden, in denen Nutzer der Gruppe Vor Kurzem hat ein Sicherheitsforscher über unser Programm zum Melden von Sicherheitslücken auf Cluster mit RBAC-Fehlkonfigurationen aufmerksam gemacht. Der Ansatz von Google für die Authentifizierung besteht darin, die Authentifizierung bei Google Cloud und GKE so einfach und sicher wie möglich zu gestalten, ohne komplizierte Konfigurationsschritte hinzuzufügen.
Die Authentifizierung sagt nur aus, wer der Nutzer ist. Bei der Autorisierung wird der Zugriff festgelegt. Daher funktioniert die Gruppe Vor diesem Hintergrund haben wir mehrere Schritte unternommen, um das Risiko von Autorisierungsfehlern bei den in Kubernetes integrierten Nutzern und Gruppen zu verringern, einschließlich Zum Schutz der Nutzer vor versehentlichen Autorisierungsfehlern mit diesen Systemnutzern/-gruppen haben wir Folgendes entwickelt:
Cluster, für die Einschränkungen für autorisierte Netzwerke gelten, haben eine erste Schutzschicht: Sie können nicht direkt aus dem Internet angegriffen werden. Wir empfehlen dennoch, diese Bindungen zu entfernen, um einen tiefgreifenden Schutz und Fehler in den Netzwerkkontrollen zu gewährleisten. Wir prüfen derzeit Möglichkeiten, wie wir diese Systemnutzer/-gruppen durch Prävention und Erkennung noch besser vor einer fehlerhaften RBAC-Konfiguration der Nutzer/Gruppen schützen können. Wie gehe ich am besten vor?Um neue Bindungen von Vorhandene Bindungen sollten anhand dieser Anleitung überprüft werden. |
Mittel |
GKE on VMware
Derzeit gibt es keine Aktualisierungen.
GKE on AWS
Derzeit gibt es keine Aktualisierungen.
GKE on Azure
Derzeit gibt es keine Aktualisierungen.
GKE on Bare Metal
Derzeit gibt es keine Aktualisierungen.
GCP-2024-002
Veröffentlicht: 17.01.2024
Zuletzt aktualisiert: 20.02.2024
Referenz:
CVE-2023-6111
Update vom 20.02.2024 : Patchversionen für GKE on VMware hinzugefügt.
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Knoten mit Container-Optimized OS führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
Aktualisiert : 20.02.2024
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Knoten mit Container-Optimized OS führen können.
Wie gehe ich am besten vor?Aktualisierung vom 20.02.2024:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden Versionen oder höher durch: 1.28.100 |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Knoten mit Container-Optimized OS führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Knoten mit Container-Optimized OS führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Knoten mit Container-Optimized OS führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-051
Veröffentlicht: 28.12.2023
Referenz:
CVE-2023-3609
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-050
Veröffentlicht: 27.12.2023
Referenz:
CVE-2023-3389
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-049
Veröffentlicht: 20.12.2023
Referenz:
CVE-2023-3090
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-048
Veröffentlicht: 15.12.2023
Zuletzt aktualisiert: 21.12.2023
Referenz:
CVE-2023-3390
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
Aktualisiert : 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-047
Veröffentlicht: 14.12.2023
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Ein Angreifer, der den Fluent Bit-Logging-Container manipuliert hat, könnte diesen Zugriff mit hohen Berechtigungen kombinieren, die von Anthos Service Mesh (auf Clustern, die ihn aktiviert haben) benötigen, um Berechtigungen im Cluster auszuweiten. Die Probleme mit Fluent Bit und Anthos Service Mesh wurden behoben und Korrekturen sind jetzt verfügbar. Diese Sicherheitslücken können in GKE allein nicht ausgenutzt werden und erfordern eine erste Manipulation. Uns sind keine Fälle bekannt, in denen diese Sicherheitslücken ausgenutzt wurden. Diese Probleme wurden über unser Vulnerability Reward Program gemeldet. Wie gehe ich am besten vor?Die folgenden Versionen von GKE wurden mit Code aktualisiert, um diese Sicherheitslücken in Fluent Bit und für Nutzer des verwalteten Anthos Service Mesh zu beheben. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen oder höher:
Dank einer neuen Funktion der Release-Versionen können Sie Patches anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Ihre Knoten so lange sichern, bis die neue Version zur Standardeinstellung für Ihre spezifische Release-Version wird Wenn Ihr Cluster Anthos Service Mesh im Cluster verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen durchführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben? Aufgrund der in diesem Bulletin behobenen Sicherheitslücken muss ein Angreifer den Fluent Bit-Logging-Container manipulieren. Uns sind keine bestehenden Sicherheitslücken in Fluent Bit bekannt, die zu dieser Voraussetzung für die Rechteausweitung führen würden. Wir haben diese Sicherheitslücken als Härtungsmaßnahmen gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern GKE verwendet Fluent Bit, um Logs für Arbeitslasten zu verarbeiten, die auf Clustern ausgeführt werden. Fluent Bit in GKE wurde außerdem zum Erfassen von Logs für Cloud Run-Arbeitslasten konfiguriert. Die Volume-Bereitstellung, die zum Erfassen dieser Logs konfiguriert wurde, gewährte Fluent Bit Zugriff auf Kubernetes-Dienstkontotokens für andere Pods, die auf dem Knoten ausgeführt wurden. Das Forschungsunternehmen hat diesen Zugriff genutzt, um ein Dienstkonto-Token mit umfassenden Berechtigungen für Cluster zu ermitteln, für die Anthos Service Mesh aktiviert ist. Anthos Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Forscher verwendete das privilegierte Kubernetes-Dienstkontotoken von Anthos Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Berechtigungen vom Typ „Cluster-Administrator“ erstellt hat Wir haben den Zugriff von Fluent Bit auf die Dienstkontotokens entfernt und die Funktionalität von Anthos Service Mesh neu gestaltet, um nicht erforderliche Berechtigungen zu entfernen. |
Mittel |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Nur GKE on VMware-Cluster, die Anthos Service Mesh verwenden, sind betroffen. Wie gehe ich am besten vor?Wenn Ihr Cluster Anthos Service Mesh im Cluster verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen durchführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben?Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig aufbricht bzw. eine Root-Ebene auf einem Clusterknoten hat. Uns sind keine bestehenden Sicherheitslücken bekannt, die zu dieser Voraussetzung für die Rechteausweitung führen würden. Wir haben diese Sicherheitslücken als zusätzliche Härtungsmaßnahmen beseitigt, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern. Anthos Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Forscher verwendete das privilegierte Kubernetes-Dienstkontotoken von Anthos Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Berechtigungen vom Typ „Cluster-Administrator“ erstellt hat. Wir haben die Funktionalität von Anthos Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen. |
Mittel |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Nur GKE on AWS-Cluster, die Anthos Service Mesh verwenden, sind betroffen. Wie gehe ich am besten vor?Wenn Ihr Cluster Anthos Service Mesh im Cluster verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen durchführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben?Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig aufbricht bzw. eine Root-Ebene auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die zu dieser Voraussetzung für die Rechteausweitung führen würden. Wir haben diese Sicherheitslücken als Härtungsmaßnahmen behoben, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern. Anthos Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Forscher verwendete das privilegierte Kubernetes-Dienstkontotoken von Anthos Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Berechtigungen vom Typ „Cluster-Administrator“ erstellt hat. Wir haben die Funktionalität von Anthos Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen. |
Mittel |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Nur GKE on Azure-Cluster, die Anthos Service Mesh verwenden, sind betroffen. Wie gehe ich am besten vor?Wenn Ihr Cluster Anthos Service Mesh im Cluster verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen durchführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben?Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig aufbricht bzw. eine Root-Ebene auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die zu dieser Voraussetzung für die Rechteausweitung führen würden. Wir haben diese Sicherheitslücken als Härtungsmaßnahmen behoben, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern. Anthos Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Forscher verwendete das privilegierte Kubernetes-Dienstkontotoken von Anthos Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Berechtigungen vom Typ „Cluster-Administrator“ erstellt hat. Wir haben die Funktionalität von Anthos Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen. |
Mittel |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Nur GKE on Bare Metal-Cluster, die Anthos Service Mesh verwenden, sind betroffen. Wie gehe ich am besten vor?Wenn Ihr Cluster Anthos Service Mesh im Cluster verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen durchführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben?Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig aufbricht bzw. eine Root-Ebene auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die zu dieser Voraussetzung für die Rechteausweitung führen würden. Wir haben diese Sicherheitslücken als Härtungsmaßnahmen behoben, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern. Anthos Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Forscher verwendete das privilegierte Kubernetes-Dienstkontotoken von Anthos Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Berechtigungen vom Typ „Cluster-Administrator“ erstellt hat. Wir haben die Funktionalität von Anthos Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen. |
Mittel |
GCP-2023-046
Veröffentlicht: 22.11.2023
Zuletzt aktualisiert: 04.03.2024
Referenz:
CVE-2023-5717
Aktualisierung vom 04. März 2024 : GKE-Versionen für GKE on VMware wurden hinzugefügt.
Update vom 22.01.2024 : Ubuntu-Patchversionen wurden hinzugefügt.
GKE
Aktualisiert : 22.01.2024
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 22. Januar 2024: Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
Aktualisiert : 29.02.2024
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Aktualisierung vom 04.03.2024: Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher aus:
|
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-045
Veröffentlicht: 20.11.2023
Aktualisiert: 21.12.2023
Referenz:
CVE-2023-5197
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
Aktualisiert : 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Container-Optimized OS-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-042
Veröffentlicht: 13.11.2023
Zuletzt aktualisiert: 15.11.2023
Referenz:
CVE-2023-4147
Aktualisierung vom 15. November 2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 15.11.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster sind nicht betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 15. November 2023: Sie müssen nur dann ein Upgrade auf eine der Patchversionen ausführen, die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion auf Ihren Knoten verwenden. Wenn Sie beispielsweise die GKE-Version 1.27 verwenden, sollten Sie ein Upgrade auf die entsprechende Patchversion durchführen. Wenn Sie jedoch die GKE-Version 1.24 verwenden, ist kein Upgrade auf eine Patchversion erforderlich. Führen Sie ein Upgrade für Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn Ihr Cluster dieselbe Nebenversion in einer eigenen Release-Version ausführt. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zum Standard wird. Weitere Informationen finden Sie unter Patchversionen von einem neueren Kanal ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-041
Veröffentlicht: 08.11.2023
Zuletzt aktualisiert: 21.11.2023, 05.12.2023, 21.12.2023
Referenz:
CVE-2023-4004
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Aktualisierung vom 05.12.2023 : Zusätzliche GKE-Versionen für Container-Optimized OS-Knotenpools wurden hinzugefügt.
Aktualisierung vom 21. November 2023 : Wir möchten verdeutlichen, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 05.12.2023, 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 05.12.2023 : Einige GKE-Versionen fehlten zuvor. Im Folgenden finden Sie eine aktualisierte Liste von GKE-Versionen, auf die Sie Ihr Container-Optimized OS aktualisieren können:
Aktualisierung vom 21. November 2023 : Sie müssen nur dann ein Upgrade auf eine der Patchversionen ausführen, die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion auf Ihren Knoten verwenden. Nebenversionen, die nicht aufgeführt sind, sind nicht betroffen.
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:
|
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-040
Veröffentlicht: 06.11.2023
Zuletzt aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-4921
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Aktualisierung vom 21. November 2023 : Wir möchten verdeutlichen, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 21. November 2023 : Sie müssen nur dann ein Upgrade auf eine der Patchversionen ausführen, die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion auf Ihren Knoten verwenden. Nebenversionen, die nicht aufgeführt sind, sind nicht betroffen.
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:
|
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-039
Veröffentlicht: 06.11.2023
Zuletzt aktualisiert: 21.11.2023, 16.11.2023
Referenz:
CVE-2023-4622
Aktualisierung vom 21. November 2023 : Wir möchten verdeutlichen, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
Update vom 16.11.2023 : Die Sicherheitslücke in diesem Sicherheitsbulletin lautet CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt.
GKE
Aktualisiert : 21.11.2023, 16.11.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 21. November 2023 : Sie müssen nur dann ein Upgrade auf eine der Patchversionen ausführen, die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion auf Ihren Knoten verwenden. Nebenversionen, die nicht aufgeführt sind, sind nicht betroffen.
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:
|
Hoch |
GKE on VMware
Aktualisiert: 16.11.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Aktualisiert: 16.11.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Aktualisiert: 16.11.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Aktualisiert: 16.11.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-038
Veröffentlicht: 06.11.2023
Zuletzt aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-4623
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Aktualisierung vom 21. November 2023 : Wir möchten verdeutlichen, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 21. November 2023 : Sie müssen nur dann ein Upgrade auf eine der Patchversionen ausführen, die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion auf Ihren Knoten verwenden. Nebenversionen, die nicht aufgeführt sind, sind nicht betroffen.
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:
|
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-037
Veröffentlicht: 06.11.2023
Zuletzt aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-4015
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Aktualisierung vom 21. November 2023 : Wir möchten verdeutlichen, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 21. November 2023 : Sie müssen nur dann ein Upgrade auf eine der Patchversionen ausführen, die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion auf Ihren Knoten verwenden. Nebenversionen, die nicht aufgeführt sind, sind nicht betroffen.
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:
|
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2023-035
Veröffentlicht: 26.10.2023
Aktualisiert: 21.11.2023, 2023-12-21
Referenz:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Aktualisierung vom 21. November 2023 : Wir möchten verdeutlichen, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 21. November 2023 : Sie müssen nur dann ein Upgrade auf eine der Patchversionen ausführen, die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion auf Ihren Knoten verwenden. Nebenversionen, die nicht aufgeführt sind, sind nicht betroffen.
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:
|
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Hoch |
GCP-2023-033
Veröffentlicht: 24.10.2023
Aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-3777
Aktualisierung vom 21. Dezember 2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen und GKE Sandbox-Arbeitslasten nicht betroffen sind.
Aktualisierung vom 21. November 2023 : Wir möchten verdeutlichen, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind betroffen. Wie gehe ich am besten vor?Aktualisierung vom 21. November 2023 : Sie müssen nur dann ein Upgrade auf eine der Patchversionen ausführen, die in diesem Bulletin aufgeführt sind, wenn Sie diese Nebenversion auf Ihren Knoten verwenden. Nebenversionen, die nicht aufgeführt sind, sind nicht betroffen.
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:
|
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
GCP-2023-030
Veröffentlicht: 10.10.2023
Aktualisiert: 20.03.2024
Referenz: CVE-2023-44487CVE-2023-39325
Update vom 20.03.2024: Patchversionen für GKE on AWS und GKE on Azure hinzugefügt.
Update vom 14.02.2024: Patchversionen für GKE on VMware hinzugefügt.
Update vom 09.11.2023: CVE-2023-39325 hinzugefügt. Die GKE-Versionen wurden mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert.
GKE
Aktualisiert: 09.11.2023
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) entdeckt, einschließlich des von Kubernetes verwendeten golang-HTTP-Servers. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch den Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen. Wie gehe ich am besten vor?Aktualisierung vom 09.11.2023:Es wurden neue Versionen von GKE veröffentlicht, die die Go- und Kubernetes-Sicherheitspatches enthalten, auf die Sie Ihre Cluster jetzt aktualisieren können. In den kommenden Wochen werden wir weitere Änderungen an der GKE-Steuerungsebene veröffentlichen, um dieses Problem weiter zu verringern. Die folgenden GKE-Versionen wurden mit Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert:
Wir empfehlen, so schnell wie möglich die folgende Abhilfemaßnahme anzuwenden und ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist. Golang-Patches werden am 10. Oktober veröffentlicht. Sobald er verfügbar ist, erstellen und qualifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, aktualisieren wir dieses Bulletin mit einer Anleitung dazu, welche Version Sie für das Upgrade Ihrer Steuerungsebene benötigen. Außerdem machen wir die Patches im GKE-Sicherheitsstatus sichtbar, sofern sie für Ihren Cluster verfügbar sind. Wenn Sie Pub/Sub-Benachrichtigungen erhalten möchten, wenn ein Patch für Ihren Kanal verfügbar ist, aktivieren Sie Clusterbenachrichtigungen. Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Das Problem lässt sich vermeiden, indem Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene konfigurieren: Sie können autorisierte Netzwerke vorhandenen Clustern hinzufügen. Weitere Informationen finden Sie unter Autorisierte Netzwerke für vorhandene Cluster. Zusätzlich zu den von Ihnen hinzugefügten autorisierten Netzwerken gibt es voreingestellte IP-Adressen, die auf die GKE-Steuerungsebene zugreifen können. Weitere Informationen zu diesen Adressen finden Sie unter Zugriff auf Endpunkte der Steuerungsebene. Die folgenden Elemente fassen die Clusterisolation zusammen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der GKE-Steuerungsebene ausführen. |
Hoch |
GKE on VMware
Aktualisiert : 14.02.2024
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) entdeckt, einschließlich des von Kubernetes verwendeten golang-HTTP-Servers. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. GKE on VMware erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind. Wie gehe ich am besten vor?Aktualisierung vom 14. Februar 2024 : Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Patchversionen oder höher aus:
Wenn Sie Ihre Kubernetes-Cluster in GKE on VMware so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, falls diese verfügbar ist. Golang-Patches werden am 10. Oktober veröffentlicht. Sobald er verfügbar ist, erstellen und qualifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, werden wir dieses Bulletin mit einer Anleitung dazu aktualisieren, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene ausführen sollten. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) entdeckt, einschließlich des von Kubernetes verwendeten golang-HTTP-Servers. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. GKE on AWS erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind. Wie gehe ich am besten vor?Aktualisierung vom 20.03.2024:Die folgenden GKE on AWS-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:
Wenn Sie GKE on AWS so konfiguriert haben, dass es direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke bietet, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, falls diese verfügbar ist. Golang-Patches werden am 10. Oktober veröffentlicht. Sobald er verfügbar ist, erstellen und qualifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, werden wir dieses Bulletin mit einer Anleitung dazu aktualisieren, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene ausführen sollten. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) entdeckt, einschließlich des von Kubernetes verwendeten golang-HTTP-Servers. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. GKE on Azure erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind. Wie gehe ich am besten vor?Aktualisierung vom 20.03.2024:Die folgenden GKE on Azure-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:
Wenn Sie Ihre GKE on Azure-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, gemeinsam mit Ihrem Firewalladministrator diesen Zugriff zu blockieren oder einzuschränken. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, falls diese verfügbar ist. Golang-Patches werden am 10. Oktober veröffentlicht. Sobald er verfügbar ist, erstellen und qualifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, werden wir dieses Bulletin mit einer Anleitung dazu aktualisieren, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene ausführen sollten.Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) entdeckt, einschließlich des von Kubernetes verwendeten golang-HTTP-Servers. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Anthos on Bare Metal erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind. Wie gehe ich am besten vor?Wenn Sie Ihre Anthos on Bare Metal-Kubernetes-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Weitere Informationen finden Sie in der Übersicht über die GKE on Bare Metal-Sicherheit. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, falls diese verfügbar ist. Golang-Patches werden am 10. Oktober veröffentlicht. Sobald er verfügbar ist, erstellen und qualifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, werden wir dieses Bulletin mit einer Anleitung dazu aktualisieren, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene ausführen sollten. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen. |
Hoch |
GCP-2023-026
Veröffentlicht: 06.09.2023
Referenz: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) gefunden. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, unter Umständen zu Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. GKE-Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen:
Die GKE-Steuerungsebene wird in der Woche vom 04.09.2023 aktualisiert, um den csi-Proxy auf Version 1.1.3 zu aktualisieren. Wenn Sie die Knoten vor dem Update der Steuerungsebene aktualisieren, müssen Sie die Knoten nach der Aktualisierung noch einmal aktualisieren, um den neuen Proxy nutzen zu können. Sie können die Knoten noch einmal aktualisieren, auch ohne die Knotenversion zu ändern. Dazu führen Sie den Befehl Dank einer neuen Funktion der Release-Versionen können Sie Patches anwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Ihre Knoten so lange sichern, bis die neue Version zur Standardversion für Ihre spezifische Release-Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet hat keine Eingabebereinigung und übergibt diesen erstellten Pfadstring als Argument an den Befehlsausführer, wo Teile des Strings als separate Befehle ausgeführt werden. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt. Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen, die Möglichkeit, Code auf derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, privilegierte Berechtigungen. Mit CVE-2023-3893 können Nutzer, die Pods auf Windows-Knoten mit kubernetes-csi-proxy erstellen können, auch ohne Input Sanitation, Administratorberechtigungen für diese Knoten erhalten. Mit Kubernetes-Audit-Logs können Sie feststellen, ob diese Sicherheitslücke ausgenutzt wird. Pod-Erstellungsereignisse mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf eine Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starker Hinweis auf eine Sicherheitslücke. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) gefunden. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, unter Umständen zu Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet hat keine Eingabebereinigung und übergibt diesen erstellten Pfadstring als Argument an den Befehlsausführer, wo Teile des Strings als separate Befehle ausgeführt werden. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt. Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen, die Möglichkeit, Code auf derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, privilegierte Berechtigungen. Mit CVE-2023-3893 können Nutzer, die Pods auf Windows-Knoten mit kubernetes-csi-proxy erstellen können, auch ohne Input Sanitation, Administratorberechtigungen für diese Knoten erhalten. Mit Kubernetes-Audit-Logs können Sie feststellen, ob diese Sicherheitslücke ausgenutzt wird. Pod-Erstellungsereignisse mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf eine Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starker Hinweis auf eine Sicherheitslücke. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) gefunden. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, unter Umständen zu Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Wie gehe ich am besten vor?GKE on AWS ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) gefunden. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, unter Umständen zu Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Wie gehe ich am besten vor?GKE on Azure ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun. |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) gefunden. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, unter Umständen zu Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Wie gehe ich am besten vor?GKE on Bare Metal ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun. |
Keine |
GCP-2023-018
Veröffentlicht: 27.06.2023
Referenz: CVE-2023-2235
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind davon betroffen, da GKE Autopilot-Knoten immer Knoten-Images für Container-Optimized OS verwenden. GKE-Standardcluster ab Version 1.25, auf denen Knoten-Images des Container-Optimized OS ausgeführt werden, sind davon betroffen. GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images bzw. Versionen vor 1.25 oder GKE Sandbox ausführen. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden behoben?Bei CVE-2023-2235 hat die Funktion „perf_group_ einzufügen“ vor dem Aufrufen von „add_event_to_groups()“ die Funktion „perf_group_ eingeführt. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden behoben?Bei CVE-2023-2235 hat die Funktion „perf_group_ einzufügen“ vor dem Aufrufen von „add_event_to_groups()“ die Funktion „perf_group_ eingeführt. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2023-2235 hat die Funktion „perf_group_ einzufügen“ vor dem Aufrufen von „add_event_to_groups()“ die Funktion „perf_group_ eingeführt. |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2023-2235 hat die Funktion „perf_group_ einzufügen“ vor dem Aufrufen von „add_event_to_groups()“ die Funktion „perf_group_ eingeführt. |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. Google Distributed Cloud Virtual for Bare Metal ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Keine |
GCP-2023-017
Veröffentlicht: 26.06.2023
Zuletzt aktualisiert: 11.07.2023
Referenz: CVE-2023-31436
Aktualisierung vom 11. Juli 2023 : Neue GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-31436 gepatcht haben.
GKE
Aktualisiert : 11.07.2023
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 11. Juli 2023:Ubuntu-Patchversionen sind verfügbar. Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, mit denen CVE-2023-31436 gepatcht wurde:
Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden behoben?Mit CVE-2023-31436 wurde im Subsystem der Trafficsteuerung (QoS) des Linux-Kernels ein Fehler beim Zugriff auf den Arbeitsspeicher gefunden, der außerhalb des gültigen Bereichs liegt. Dies liegt daran, dass ein Nutzer die Funktion „qfq_change_class“ mit einem falschen MTU-Wert des als „lmax“ verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen im System ausweiten. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden behoben?Mit CVE-2023-31436 wurde im Subsystem der Trafficsteuerung (QoS) des Linux-Kernels ein Fehler beim Zugriff auf den Arbeitsspeicher gefunden, der außerhalb des gültigen Bereichs liegt. Dies liegt daran, dass ein Nutzer die Funktion „qfq_change_class“ mit einem falschen MTU-Wert des als „lmax“ verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen im System ausweiten. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2023-31436 wurde im Subsystem der Trafficsteuerung (QoS) des Linux-Kernels ein Fehler beim Zugriff auf den Arbeitsspeicher gefunden, der außerhalb des gültigen Bereichs liegt. Dies liegt daran, dass ein Nutzer die Funktion „qfq_change_class“ mit einem falschen MTU-Wert des als „lmax“ verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen im System ausweiten. |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2023-31436 wurde im Subsystem der Trafficsteuerung (QoS) des Linux-Kernels ein Fehler beim Zugriff auf den Arbeitsspeicher gefunden, der außerhalb des gültigen Bereichs liegt. Dies liegt daran, dass ein Nutzer die Funktion „qfq_change_class“ mit einem falschen MTU-Wert des als „lmax“ verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen im System ausweiten. |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. Google Distributed Cloud Virtual for Bare Metal ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Keine |
GCP-2023-016
Veröffentlicht: 26.06.2023
Referenz:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
CVE{/13-202
123-202
CVE-2023-27491CVE-2023-27487
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In Envoy wurden eine Reihe von Sicherheitslücken entdeckt, die in Anthos Service Mesh (ASM) verwendet werden. Diese wurden separat als GCP-2023-002 gemeldet. GKE wird nicht mit ASM ausgeliefert und ist von diesen Sicherheitslücken nicht betroffen. Wie gehe ich am besten vor?Wenn Sie ASM für Ihre GKE-Cluster separat installiert haben, finden Sie weitere Informationen unter GCP-2023-002. |
Keine |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, CVE-2023-27487-Dienst, der den schädlichen Absturz von Anthos, den Anthos-Anthos Service Mesh Envoy) ermöglicht. Diese wurden separat als GCP-2023-002 gemeldet, wir möchten jedoch dafür sorgen, dass GKE Enterprise-Kunden ihre Versionen aktualisieren, die ASM enthalten. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-27496: Wenn Envoy bei der Ausführung mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die einen DoS-Angriff (Denial of Service) durch einen Absturz von Envoy verursachen würde. CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn ext_authz verwendet wird. CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mithilfe der Eingaben aus der Anfrage generiert wurden, z. B. dem Peer-Zertifikats-SAN. CVE-2023-27492: Angreifer können große Anfragetexte für Routen senden, für die der Lua-Filter aktiviert ist und Abstürze auslösen. CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.
CVE-2023-27487: Der Header |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
In Anthos Service Mesh wurden eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) gefunden. Diese wurden separat als GCP-2023-002 gemeldet. GKE on AWS wird nicht mit ASM ausgeliefert und ist nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
In Anthos Service Mesh wurden eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) gefunden. Diese wurden separat als GCP-2023-002 gemeldet. GKE on Azure wird nicht mit ASM ausgeliefert und ist nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, CVE-2023-27487, Malware-Dienst für den schädlichen Absturz von Envoy, den Metal-Anthos Service Mesh, den Cyber-Metal-Absturz von Envoy), die einen Absturz von Anthos, dem schädlichen Metal-Mesh-Dienst in dem Envoy-Dienst zum Absturz von Anthos, in Envoy-Metal-Mesh-Diensten verursacht. Diese wurden separat als GCP-2023-002 gemeldet, wir möchten jedoch dafür sorgen, dass GKE Enterprise-Kunden ihre Versionen aktualisieren, die ASM enthalten. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Bare Metal wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on Bare Metal-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-27496: Wenn Envoy bei der Ausführung mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die einen DoS-Angriff (Denial of Service) durch einen Absturz von Envoy verursachen würde. CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn ext_authz verwendet wird. CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mithilfe der Eingaben aus der Anfrage generiert wurden, z. B. dem Peer-Zertifikats-SAN. CVE-2023-27492: Angreifer können große Anfragetexte für Routen senden, für die der Lua-Filter aktiviert ist und Abstürze auslösen. CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.
CVE-2023-27487: Der Header |
Hoch |
GCP-2023-015
Veröffentlicht: 20.06.2023
Referenz: CVE-2023-0468
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial of Service auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden behoben?In CVE-2023-0468 wurde in io_uring/poll.c in io_poll_check_events der Unterkomponente io_uring im Linux-Kernel ein Use-after-free-Schwachpunkt festgestellt. Dieser Fehler kann zu einer Dereferenzierung des NULL-Zeigers und möglicherweise zu einem Systemabsturz führen, der zu einem Denial-of-Service-Angriff führt. |
Mittel |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial of Service auf dem Knoten führen kann. GKE on VMware verwendet Version 5.4 des Linux-Kernels und ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?
|
Keine |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial of Service auf dem Knoten führen kann. GKE on AWS ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?
|
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial of Service auf dem Knoten führen kann. GKE on Azure ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?
|
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einem Denial of Service auf dem Knoten führen kann. Google Distributed Cloud Virtual for Bare Metal ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?
|
Keine |
GCP-2023-014
Veröffentlicht: 15.06.2023
Zuletzt aktualisiert: 11.08.2023
Referenz: CVE-2023-2727, CVE-2023-2728
Aktualisierung vom 11. August 2023 : Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und GKE on Bare Metal hinzugefügt.
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden zwei neue Sicherheitsprobleme festgestellt, bei denen Nutzer unter Umständen Container starten konnten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zugangs-Plug-in (CVE-2023-2728) verwenden. GKE verwendet ImagePolicyWebhook nicht und ist nicht von CVE-2023-2727 betroffen. Alle GKE-Versionen sind möglicherweise anfällig für CVE-2023-2728.Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird. Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer bei Verwendung von sitzungsspezifischen Containern möglicherweise Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind. Kubernetes-Cluster sind nur betroffen, wenn das Zugangs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um die gleichen Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer unter Umständen Container starten, die die Richtlinie für bereitstellbare Secrets umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GKE on VMware
Aktualisiert : 11.08.2023
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden zwei neue Sicherheitsprobleme festgestellt, bei denen Nutzer unter Umständen Container starten konnten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden. Anthos on VMware verwendet ImagePolicyWebhook nicht und ist nicht von CVE-2023-2727 betroffen. Alle Versionen von Anthos on VMware sind möglicherweise anfällig für CVE-2023-2728. Wie gehe ich am besten vor?Aktualisierung vom 11. August 2023:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden Versionen von GKE on VMware durch:
Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer bei Verwendung von sitzungsspezifischen Containern möglicherweise Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind. Kubernetes-Cluster sind nur betroffen, wenn das Zugangs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um die gleichen Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer unter Umständen Container starten, die die Richtlinie für bereitstellbare Secrets umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GKE on AWS
Aktualisiert : 11.08.2023
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden zwei neue Sicherheitsprobleme festgestellt, bei denen Nutzer unter Umständen Container starten konnten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden. Wie gehe ich am besten vor?Aktualisierung vom 11. August 2023:Die folgende Version von GKE on AWS wurde mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on AWS-Version durch:
Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer bei Verwendung von sitzungsspezifischen Containern möglicherweise Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind. Kubernetes-Cluster sind nur betroffen, wenn das Zugangs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um die gleichen Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer unter Umständen Container starten, die die Richtlinie für bereitstellbare Secrets umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GKE on Azure
Aktualisiert : 11.08.2023
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden zwei neue Sicherheitsprobleme festgestellt, bei denen Nutzer unter Umständen Container starten konnten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden. Wie gehe ich am besten vor?Aktualisierung vom 11. August 2023:Die folgende Version von GKE on Azure wurde mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on Azure-Version durch:
Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer bei Verwendung von sitzungsspezifischen Containern möglicherweise Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind. Kubernetes-Cluster sind nur betroffen, wenn das Zugangs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um die gleichen Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer unter Umständen Container starten, die die Richtlinie für bereitstellbare Secrets umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GKE on Bare Metal
Aktualisiert : 11.08.2023
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurden zwei neue Sicherheitsprobleme festgestellt, bei denen Nutzer unter Umständen Container starten konnten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden. Wie gehe ich am besten vor?Aktualisierung vom 11. August 2023:Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal durch:
Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer bei Verwendung von sitzungsspezifischen Containern möglicherweise Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind. Kubernetes-Cluster sind nur betroffen, wenn das Zugangs-Plug-in „ImagePolicyWebhook“ zusammen mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um die gleichen Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer unter Umständen Container starten, die die Richtlinie für bereitstellbare Secrets umgehen, die vom ServiceAccount-Zulassungs-Plug-in erzwungen wird, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen können, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GCP-2023-009
Veröffentlicht: 06.06.2023
Referenz: CVE-2023-2878
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt. Ein Angreifer mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens erkennen. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?GKE ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren. Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in „secrets-store-csi-driver“ entdeckt, bei dem ein Angreifer mit Zugriff auf die Treiberprotokolle Dienstkontotokens erkennen konnte. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ so eingestellt ist, dass er auf Logebene 2 oder höher ausgeführt wird. |
Keine |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt. Ein Angreifer mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens erkennen. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE on VMware ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?GKE on VMware ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren. Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in „secrets-store-csi-driver“ entdeckt, bei dem ein Angreifer mit Zugriff auf die Treiberprotokolle Dienstkontotokens erkennen konnte. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ so eingestellt ist, dass er auf Logebene 2 oder höher ausgeführt wird. |
Keine |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt. Ein Angreifer mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens erkennen. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE on AWS ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?GKE on AWS ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren. Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in „secrets-store-csi-driver“ entdeckt, bei dem ein Angreifer mit Zugriff auf die Treiberprotokolle Dienstkontotokens erkennen konnte. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ so eingestellt ist, dass er auf Logebene 2 oder höher ausgeführt wird. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt. Ein Angreifer mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens erkennen. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE on Azure ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?GKE on Azure ist davon nicht betroffen. Wenn Sie jedoch die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren. Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in „secrets-store-csi-driver“ entdeckt, bei dem ein Angreifer mit Zugriff auf die Treiberprotokolle Dienstkontotokens erkennen konnte. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ so eingestellt ist, dass er auf Logebene 2 oder höher ausgeführt wird. |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt. Ein Angreifer mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens erkennen. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE on Bare Metal ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?GKE on Bare Metal ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in „secrets-store-csi-driver“ entdeckt, bei dem ein Angreifer mit Zugriff auf die Treiberprotokolle Dienstkontotokens erkennen konnte. Diese Tokens konnten dann möglicherweise mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn „TokenRequests“ im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ so eingestellt ist, dass er auf Logebene 2 oder höher ausgeführt wird. |
Keine |
GCP-2023-008
Veröffentlicht: 05.06.2023
Referenz: CVE-2023-1872
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root auf dem Knoten führen kann. GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-1872 ist eine Use-After-Free-Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die für die lokale Rechteausweitung ausgenutzt werden kann. Der Funktion |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root auf dem Knoten führen kann. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-1872 ist eine Use-After-Free-Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die für die lokale Rechteausweitung ausgenutzt werden kann. Der Funktion |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root auf dem Knoten führen kann. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben: Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-1872 ist eine Use-After-Free-Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die für die lokale Rechteausweitung ausgenutzt werden kann. Der Funktion |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root auf dem Knoten führen kann. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben: Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-1872 ist eine Use-After-Free-Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die für die lokale Rechteausweitung ausgenutzt werden kann. Der Funktion |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root auf dem Knoten führen kann. GKE on Bare Metal ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Keine |
GCP-2023-005
Veröffentlicht: 18.05.2023
Aktualisiert: 06.06.2023
Referenz: CVE-2023-1281, CVE-2023-1829
Update vom 06.06.2023 : Neue GKE-Versionen wurden mit den neuesten Ubuntu-Versionen aktualisiert, die CVE-2023-1281 und CVE-2023-1829 gepatcht haben.
GKE
Aktualisiert : 06.06.2023
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281 und CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf Root auf dem Knoten führen können. GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster und Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 06.06.2023:Ubuntu-Patchversionen sind verfügbar. Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 gepatcht haben:
Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Use-After-Free-Sicherheitslücken im Linux-Kernel-Traffic Control-Indexfilter (tcindex), die für eine lokale Rechteausweitung ausgenutzt werden können. Bei CVE-2023-1829 deaktiviert die Funktion tcindex_delete Filter in bestimmten Fällen nicht ordnungsgemäß, was später zu einer doppelten Freischaltung einer Datenstruktur führen kann. Bei CVE-2023-1281 kann der fehlerhafte Hash-Bereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer „Use-after-free“, wenn |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281 und CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf Root auf dem Knoten führen können. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken, die nach der Anwendung im Rahmen des Traffic Control Index-Filters (tcindex) des Linux-Kernels für Traffic-Kontrolle verwendet werden und für eine lokale Rechteausweitung ausgenutzt werden können. Bei CVE-2023-1829 deaktiviert die Funktion tcindex_delete Filter in bestimmten Fällen nicht ordnungsgemäß, was später zu einer doppelten Freischaltung einer Datenstruktur führen kann. Bei CVE-2023-1281 kann der fehlerhafte Hash-Bereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer „Use-after-free“, wenn |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281 und CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf Root auf dem Knoten führen können. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken, die nach der Anwendung im Rahmen des Traffic Control Index-Filters (tcindex) des Linux-Kernels für Traffic-Kontrolle verwendet werden und für eine lokale Rechteausweitung ausgenutzt werden können. Bei CVE-2023-1829 deaktiviert die Funktion tcindex_delete Filter in bestimmten Fällen nicht ordnungsgemäß, was später zu einer doppelten Freischaltung einer Datenstruktur führen kann. Bei CVE-2023-1281 kann der fehlerhafte Hash-Bereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer „Use-after-free“, wenn |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281 und CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf Root auf dem Knoten führen können. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken, die nach der Anwendung im Rahmen des Traffic Control Index-Filters (tcindex) des Linux-Kernels für Traffic-Kontrolle verwendet werden und für eine lokale Rechteausweitung ausgenutzt werden können. Bei CVE-2023-1829 deaktiviert die Funktion tcindex_delete Filter in bestimmten Fällen nicht ordnungsgemäß, was später zu einer doppelten Freischaltung einer Datenstruktur führen kann. Bei CVE-2023-1281 kann der fehlerhafte Hash-Bereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer „Use-after-free“, wenn |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281 und CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf Root auf dem Knoten führen können. GKE on Bare Metal ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Keine |
GCP-2023-003
Veröffentlicht: 11.04.2023
Zuletzt aktualisiert: 21.12.2023
Referenz: CVE-2023-0240, CVE-2023-23586
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
Aktualisiert : 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt, CVE-2023-0240 und CVE-2023-23586. Diese Sicherheitslücken ermöglichen es nicht berechtigten Nutzern, ihre Rechte auszuweiten. GKE-Cluster, einschließlich Autopilot-Cluster, mit COS, die die Linux-Kernelversion 5.10 bis 5.10.162 verwenden, sind betroffen. GKE-Cluster, die Ubuntu-Images oder GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Auch wenn Sie das automatische Knotenupgrade aktiviert haben, empfehlen wir aus Sicherheitsgründen, Ihre Knotenpools manuell auf eine der folgenden GKE-Versionen zu aktualisieren:
Eine neue Funktion der Release-Kanäle ermöglicht es dir, ein Patch anzuwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Ihre Knoten so lange sichern, bis die neue Version zur Standardeinstellung für Ihre Release-Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Sicherheitslücke 1 (CVE-2023-0240): Eine Race-Bedingung in Sicherheitslücke 2 (CVE-2023-23586): Eine Verwendung nach der kostenlosen Nutzung (UAF) in |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt, CVE-2023-0240 und CVE-2023-23586. Diese Sicherheitslücken ermöglichen es nicht berechtigten Nutzern, ihre Rechte auszuweiten. GKE on VMware-Cluster mit COS, die die Linux-Kernelversion 5.10 bis 5.10.162 verwenden, sind betroffen. GKE Enterprise-Cluster, die Ubuntu-Images verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben:
Welche Sicherheitslücken werden mit diesem Patch behoben?Sicherheitslücke 1 (CVE-2023-0240): Eine Race-Bedingung in Sicherheitslücke 2 (CVE-2023-23586): Eine Verwendung nach der kostenlosen Nutzung (UAF) in |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt, CVE-2023-0240 und CVE-2023-23586. Diese Sicherheitslücken ermöglichen es nicht berechtigten Nutzern, ihre Rechte auszuweiten. GKE on AWS ist von diesen CVEs nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt, CVE-2023-0240 und CVE-2023-23586. Diese Sicherheitslücken ermöglichen es nicht berechtigten Nutzern, ihre Rechte auszuweiten. GKE on Azure ist von diesen CVEs nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt, CVE-2023-0240 und CVE-2023-23586. Diese Sicherheitslücken ermöglichen es nicht berechtigten Nutzern, ihre Rechte auszuweiten. GKE on Bare Metal ist von diesen CVEs nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Keine |
GCP-2023-001
Veröffentlicht: 01.03.2023
Zuletzt aktualisiert: 21.12.2023
Referenz: CVE-2022-4696
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen, Ihre Cluster und Knotenpools manuell zu aktualisieren, und zwar auf eine der folgenden GKE-Versionen:
Eine neue Funktion der Release-Kanäle ermöglicht es dir, ein Patch anzuwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Ihre Knoten so lange sichern, bis die neue Version zur Standardeinstellung für Ihre Release-Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-4696 wurde ein Use-After-Free-Schwachpunkt in io_uring und ioring_op_splice im Linux-Kernel gefunden. Dieser Fehler ermöglicht es einem lokalen Nutzer, eine lokale Rechteausweitung vorzunehmen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware mit v1.12 und v1.13 ist betroffen. GKE on VMware mit v1.14 oder höher ist nicht betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-4696 wurde ein Use-After-Free-Schwachpunkt in io_uring und ioring_op_splice im Linux-Kernel gefunden. Dieser Fehler ermöglicht es einem lokalen Nutzer, eine lokale Rechteausweitung vorzunehmen. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Keine |
GCP-2022-026
Veröffentlicht: 11.01.2023
Referenz: CVE-2022-3786, CVE-2022-3602
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können. Obwohl diese in der NVD-Datenbank mit „Hoch“ bewertet wurde, verwenden GKE-Endpunkte boringSSL oder eine ältere Version von OpenSSL, die nicht betroffen ist. Daher wurde die Bewertung für GKE auf „Mittel“ reduziert. Wie gehe ich am besten vor?Die folgenden Versionen von GKE wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen:
Eine neue Funktion der Release-Kanäle ermöglicht es dir, ein Patch anzuwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardeinstellung für Ihre Release-Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-3786 und CVE-2022-3602 kann es bei der Verifizierung des X.509-Zertifikats zu einem Überlauf des Puffers kommen. Dies kann zu einem Absturz und einem Denial-of-Service führen. Damit diese Sicherheitslücke ausgenutzt werden kann, muss eine Zertifizierungsstelle entweder ein schädliches Zertifikat signiert haben oder eine Anwendung muss die Zertifikatsüberprüfung fortsetzen, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt werden konnte. |
Mittel |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können. Wie gehe ich am besten vor?GKE on VMware ist von diesem CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Es sind keine weiteren Schritte erforderlich. |
Keine |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können. Wie gehe ich am besten vor?GKE on AWS ist von diesem CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Es sind keine weiteren Schritte erforderlich. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können. Wie gehe ich am besten vor?GKE on Azure ist von diesem CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Es sind keine weiteren Schritte erforderlich. |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können. Wie gehe ich am besten vor?GKE on Bare Metal ist von diesem CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Es sind keine weiteren Schritte erforderlich. |
Keine |
GCP-2022-025
Veröffentlicht: 21.12.2022
Zuletzt aktualisiert: 19.01.2023, 21.12.2023
Referenz: CVE-2022-2602
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Aktualisierung vom 19. Januar 2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
GKE
Aktualisiert : 19.01.2023
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Im Subsystem „io_uring“ im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, beliebigen Code auszuführen. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch. Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen, für Ihre Knotenpools ein manuelles Upgrade auf eine der folgenden GKE-Versionen durchzuführen:
Eine neue Funktion der Release-Kanäle ermöglicht es dir, ein Patch anzuwenden, ohne das Abo für einen Kanal kündigen zu müssen. So können Sie Ihre Knoten so lange sichern, bis die neue Version zur Standardeinstellung für Ihre Release-Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-2602 kann eine Race-Bedingung zwischen der Verarbeitung der io_uring-Anfrage und der automatischen Speicherbereinigung für Unix-Sockets zu einer Sicherheitslücke der Anwendung nach der Anwendung führen. Ein lokaler Angreifer könnte damit einen Denial-of-Service auslösen oder möglicherweise beliebigen Code ausführen. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Subsystem „io_uring“ im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, beliebigen Code auszuführen. Die Versionen 1.11, 1.12 und 1.13 von GKE on VMware sind betroffen. Wie gehe ich am besten vor?Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt:
Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-2602 kann eine Race-Bedingung zwischen der Verarbeitung der io_uring-Anfrage und der automatischen Speicherbereinigung für Unix-Sockets zu einer Sicherheitslücke der Anwendung nach der Anwendung führen. Ein lokaler Angreifer könnte damit einen Denial-of-Service auslösen oder möglicherweise beliebigen Code ausführen. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Subsystem „io_uring“ im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, beliebigen Code auszuführen. Wie gehe ich am besten vor?Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-2602 kann eine Race-Bedingung zwischen der Verarbeitung der io_uring-Anfrage und der automatischen Speicherbereinigung für Unix-Sockets zu einer Sicherheitslücke der Anwendung nach der Anwendung führen. Ein lokaler Angreifer könnte damit einen Denial-of-Service auslösen oder möglicherweise beliebigen Code ausführen. |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Subsystem „io_uring“ im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, beliebigen Code auszuführen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-2602 kann eine Race-Bedingung zwischen der Verarbeitung der io_uring-Anfrage und der automatischen Speicherbereinigung für Unix-Sockets zu einer Sicherheitslücke der Anwendung nach der Anwendung führen. Ein lokaler Angreifer könnte damit einen Denial-of-Service auslösen oder möglicherweise beliebigen Code ausführen. |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Subsystem „io_uring“ im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es Angreifern ermöglicht, beliebigen Code auszuführen. GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Keine |
GCP-2022-024
Veröffentlicht: 09.11.2022
Zuletzt aktualisiert: 19.01.2023
Referenz: CVE-2022-2585, CVE-2022-2588
Aktualisierung vom 19. Januar 2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
Update vom 16.12.2022 : Überarbeitete Patchversionen für GKE und GKE on VMware wurden hinzugefügt.
GKE
Aktualisiert : 19.01.2023
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die dazu führen können, dass ein vollständiger Container zum Ausbrechen von Root auf dem Knoten ausfällt. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch. Aktualisierung vom 16.12.2022:Eine frühere Version des Bulletins wurde aufgrund einer Release-Regression überarbeitet. Führen Sie ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durch:
Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie das automatische Knotenupgrade aktiviert haben, empfehlen wir aus Sicherheitsgründen, für Ihre Knotenpools ein manuelles Upgrade auf eine der folgenden GKE-Versionen durchzuführen:
Updates für die GKE-Versionen 1.22, 1.23 und 1.25 sind bald verfügbar. Dieses Sicherheitsbulletin wird aktualisiert, sobald es verfügbar ist. Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on VMware
Aktualisiert : 16.12.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die dazu führen können, dass ein vollständiger Container zum Ausbrechen von Root auf dem Knoten ausfällt. Die Versionen 1.13, 1.12 und 1.11 von GKE on VMware sind betroffen. Wie gehe ich am besten vor?Aktualisierung vom 16.12.2022:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die dazu führen können, dass ein vollständiger Container zum Ausbrechen von Root auf dem Knoten ausfällt. Die folgenden Versionen von Kubernetes on AWS können betroffen sein:
Kubernetes V1.24 ist nicht betroffen. Wie gehe ich am besten vor?Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden AWS Kubernetes-Versionen:
Welche Sicherheitslücken werden behoben?Bei CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im Posix-CPU-Timer einen Use-After-Free-Exploit, je nachdem, wie Timer erstellt und gelöscht werden. Bei CVE-2022-2588 wurde ein Use-After-Free-Schwachpunkt in „route4_change“ im Linux-Kernel festgestellt. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System abzustürzen und möglicherweise zu einer lokalen Rechteausweitung zu führen. |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die dazu führen können, dass ein vollständiger Container zum Ausbrechen von Root auf dem Knoten ausfällt. Die folgenden Versionen von Kubernetes on Azure können betroffen sein:
Kubernetes V1.24 ist nicht betroffen. Wie gehe ich am besten vor?Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden Azure Kubernetes-Versionen:
Welche Sicherheitslücken werden behoben?Bei CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im Posix-CPU-Timer einen Use-After-Free-Exploit, je nachdem, wie Timer erstellt und gelöscht werden. Bei CVE-2022-2588 wurde ein Use-After-Free-Schwachpunkt in „route4_change“ im Linux-Kernel festgestellt. Dieser Fehler ermöglicht es einem lokalen Nutzer, das System abzustürzen und möglicherweise zu einer lokalen Rechteausweitung zu führen. |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die dazu führen können, dass ein vollständiger Container zum Ausbrechen von Root auf dem Knoten ausfällt. GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Keine |
GCP-2022-023
Veröffentlicht: 04.11.2022
Referenz: CVE-2022-39278
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In Istio, das in Anthos Service Mesh verwendet wird, wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt. Sie ermöglicht einem Angreifer, die Steuerungsebene abzustürzen. Wie gehe ich am besten vor?Die Google Kubernetes Engine (GKE) wird nicht mit Istio ausgeliefert und ist von dieser Sicherheitslücke nicht betroffen. Wenn Sie jedoch Anthos Service Mesh oder Istio separat auf Ihrem GKE-Cluster installiert haben, finden Sie weitere Informationen unter GCP-2022-020, dem Anthos Service Mesh-Sicherheitsbulletin zu diesem CVE. |
Keine |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
In Istio wurde eine Sicherheitslücke (CVE-2022-39278) gefunden, die in Anthos Service Mesh in GKE on VMware verwendet wird. Sie ermöglicht einem Angreifer, die Istio-Steuerungsebene abstürzen zu können. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?
Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
In Istio, das in Anthos Service Mesh verwendet wird, wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt. Sie ermöglicht einem Angreifer, die Steuerungsebene abzusturz zu. Wie gehe ich am besten vor?GKE on AWS ist von dieser Sicherheitslücke nicht betroffen und es sind keine Maßnahmen erforderlich. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
In Istio, das in Anthos Service Mesh verwendet wird, wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt. Sie ermöglicht einem Angreifer, die Steuerungsebene abzusturz zu. Wie gehe ich am besten vor?GKE on Azure ist von dieser Sicherheitslücke nicht betroffen und es sind keine Maßnahmen erforderlich. |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
In Istio wurde eine Sicherheitslücke (CVE-2022-39278) gefunden, die in Anthos Service Mesh in GKE on Bare Metal verwendet wird. Sie ermöglicht einem Angreifer, die Istio-Steuerungsebene abzustürzen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Bare Metal wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade von Clustern auf eine der folgenden GKE on Bare Metal-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?
Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene |
Hoch |
GCP-2022-022-updated
Veröffentlicht: 08.12.2022
Referenz: CVE-2022-20409
GKE
Aktualisiert : 14.12.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Die Cluster der Google Kubernetes Engine (GKE) v1.22, v1.23 und v1.24, einschließlich Autopilot-Clustern, die die Versionen 93 und 97 von Container-Optimized OS verwenden, sind betroffen. Andere unterstützte GKE-Versionen sind nicht betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 14. Dezember 2022:Eine frühere Version des Bulletins wurde aufgrund einer Release-Regression überarbeitet. Führen Sie ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durch:
Die folgenden GKE-Versionen mit den Versionen 93 und 97 von Container-Optimized OS wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen, für Ihre Knotenpools ein manuelles Upgrade auf eine der folgenden GKE-Versionen durchzuführen:
Dank einer neuen Funktion der Release-Kanäle kannst du ein Patch anwenden, ohne das Kanalabo kündigen zu müssen. Mit diesem Feature können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in „io_identity_cow“ des Subsystems „io_uring“. Aufgrund einer Use-After-Free-Sicherheitslücke (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder möglicherweise zur Ausführung eines beliebigen Codes nutzen. |
Hoch |
GKE on VMware
Aktualisiert : 14.12.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Wie gehe ich am besten vor?Aktualisierung vom 14.12.2022:Die folgenden Versionen von GKE on VMware für Ubuntu wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in „io_identity_cow“ des Subsystems „io_uring“. Aufgrund einer Use-After-Free-Sicherheitslücke (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder möglicherweise zur Ausführung eines beliebigen Codes nutzen. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, entdeckt, die es unprivilegierten Nutzern ermöglicht, zu Systemausführungsberechtigungen zu eskalieren. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. GKE on AWS verwendet die betroffenen Versionen des Linux-Kernels nicht. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in „io_identity_cow“ des Subsystems „io_uring“. Aufgrund einer Use-After-Free-Sicherheitslücke (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder möglicherweise zur Ausführung eines beliebigen Codes nutzen. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, entdeckt, die es unprivilegierten Nutzern ermöglicht, zu Systemausführungsberechtigungen zu eskalieren. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. GKE on Azure verwendet die betroffenen Versionen des Linux-Kernels nicht. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in „io_identity_cow“ des Subsystems „io_uring“. Aufgrund einer Use-After-Free-Sicherheitslücke (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder möglicherweise zur Ausführung eines beliebigen Codes nutzen. |
Keine |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Wie gehe ich am besten vor?
|
Keine |
GCP-2022-021
Veröffentlicht: 27.10.2022
Zuletzt aktualisiert: 19.01.2023, 21.12.2023
Referenz: CVE-2022-3176
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Aktualisierung vom 19. Januar 2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
Update vom 15.12.2022 : Die Informationen wurden aktualisiert, dass die Einführung von Version 1.21.14-gke.9400 der Google Kubernetes Engine aussteht und die Version möglicherweise durch eine höhere Versionsnummer ersetzt wird.
Update vom 21.11.2022 : Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.
GKE
Aktualisiert : 19.01.2023, 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht es einem nicht privilegierten Nutzer, einen vollständigen Container-Ausbruch zu erreichen, um auf dem Knoten zu rooten. Aktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Cluster der Google Kubernetes Engine (GKE) Version 1.21, einschließlich Autopilot-Clustern, die Container-Optimized OS Version 89 verwenden, sind betroffen. Spätere Versionen von GKE sind nicht betroffen. Alle Linux-Cluster mit Ubuntu sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch. Aktualisierung vom 15. Dezember 2022:Die Einführung von Version 1.21.14-gke.9400 steht aus. Sie wird möglicherweise durch eine höhere Versionsnummer ersetzt. Wir werden dieses Dokument aktualisieren, sobald die besagte neue Version verfügbar ist. Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir aus Sicherheitsgründen, für Ihre Knotenpools ein manuelles Upgrade auf eine der folgenden GKE-Versionen durchzuführen:
Dank einer neuen Funktion der Release-Kanäle kannst du ein Patch anwenden, ohne das Kanalabo kündigen zu müssen. Mit diesem Feature können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-3176 weist der Linux-Kernel eine Sicherheitslücke im Subsystem „io_uring“ auf. Wenn die POLLFREE-Verarbeitung fehlt, kann dies zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können. |
Hoch |
GKE on VMware
Aktualisiert : 21.11.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht es einem nicht privilegierten Nutzer, einen vollständigen Container-Ausbruch zu erreichen, um auf dem Knoten zu rooten. Wie gehe ich am besten vor?
Aktualisierung vom 21.11.2022:Die folgenden Versionen von GKE on VMware für Ubuntu wurden mit Code zur Behebung dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:
Versionen von GKE on VMware, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on VMware-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-3176 weist der Linux-Kernel eine Sicherheitslücke im Subsystem „io_uring“ auf. Wenn die POLLFREE-Verarbeitung fehlt, kann dies zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können. |
Hoch |
GKE on AWS
Aktualisiert : 21.11.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht es einem nicht privilegierten Nutzer, einen vollständigen Container-Ausbruch zu erreichen, um auf dem Knoten zu rooten. Wie gehe ich am besten vor?Aktualisierung vom 21.11.2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen: Aktuelle Generation
Versionen von GKE on AWS, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die GKE on AWS-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-3176 weist der Linux-Kernel eine Sicherheitslücke im Subsystem „io_uring“ auf. Wenn die POLLFREE-Verarbeitung fehlt, kann dies zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können. |
Hoch |
GKE on Azure
Aktualisiert : 21.11.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht es einem nicht privilegierten Nutzer, einen vollständigen Container-Ausbruch zu erreichen, um auf dem Knoten zu rooten. Wie gehe ich am besten vor?Aktualisierung vom 21.11.2022: Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Versionen von GKE on Azure, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die GKE on Azure-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-3176 weist der Linux-Kernel eine Sicherheitslücke im Subsystem „io_uring“ auf. Wenn die POLLFREE-Verarbeitung fehlt, kann dies zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können. |
Hoch |
GKE on Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht es einem nicht privilegierten Nutzer, einen vollständigen Container-Ausbruch zu erreichen, um auf dem Knoten zu rooten. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2022-018
Veröffentlicht: 01.08.2022
Zuletzt aktualisiert: 14.09.2022, 21.12.2023
Referenz: CVE-2022-2327
Update vom 21.12.2023: Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Aktualisierung vom 14. September 2022 : Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.
GKE
Aktualisiert : 21.12.2023
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Technische DetailsAktualisierung vom 21. Dezember 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind, das war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS (COS), die die Linux-Kernel-Version 5.10 verwenden, sind betroffen. GKE-Cluster, die Ubuntu-Images oder GKE Sandbox verwenden, sind nicht betroffen. Was soll ich tun?Aktualisieren Sie Ihre GKE-Cluster auf eine Version, die diese Fehlerkorrektur enthält.
Die Linux-Knoten-Images für COS wurden zusammen mit GKE-Versionen aktualisiert, die diese COS-Versionen verwenden.
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, bei der bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Wenn Sie diese Anfragen ohne die richtigen Elementtypen verwenden, kann dies zu einer Rechteausweitung auf Root führen. |
Hoch |
GKE on VMware
Aktualisiert : 14.09.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Cluster mit einem COS-Image (Container Optimized OS), das die GKE on VMware-Versionen 1.10, 1.11 und 1.12 verwendet, sind davon betroffen. Wie gehe ich am besten vor?Aktualisierung vom 14. September 2022:Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.
Versionen von GKE on VMware, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, wenn die GKE on VMware-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, bei der bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Die Verwendung dieser Anfragen ohne die richtigen Elementtypen kann dazu führen, dass die Rechteausweitung auf Root erfolgt. |
Hoch |
GKE on AWS
Aktualisiert : 14.09.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Aktualisierung vom 14. September 2022:Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen: Aktuelle Generation
Vorherige Generation
Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die GKE on AWS-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, bei der bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Die Verwendung dieser Anfragen ohne die richtigen Elementtypen kann dazu führen, dass die Rechteausweitung auf Root erfolgt. |
Hoch |
GKE on Azure
Aktualisiert : 14.09.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Aktualisierung vom 14. September 2022:Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Versionen von GKE on Azure, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die GKE on Azure-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, bei der bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Die Verwendung dieser Anfragen ohne die richtigen Elementtypen kann dazu führen, dass die Rechteausweitung auf Root erfolgt. |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da in der Verteilung kein Betriebssystem enthalten ist. |
Keine |
GCP-2022-017
Veröffentlicht: 29.06.2022
Zuletzt aktualisiert: 22.11.2022
Referenz: CVE-2022-1786
Aktualisierung vom 22.11.2022: Aktualisierte Informationen zu Arbeitslasten, die GKE Sandbox verwenden.
Aktualisierung vom 21. Juli 2022 : Aktualisierte Informationen, die COS-Images von GKE on VMware betreffen.
GKE
Aktualisiert : 22.11.2022
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen. Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen. Was soll ich tun?Die Versionen von Linux-Knoten-Images für Container-Optimized OS für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden bevorstehenden GKE-Versionen durchzuführen:
Mit dem neuesten Feature für Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird. Welche Sicherheitslücken werden mit diesem Patch behoben?In Verbindung mit CVE-2022-1786 wurde im io_uring-Subsystem des Linux-Kernels ein Use-After-Free-Problem gefunden. Wenn ein Nutzer einen Ring mit IORING_SETUP_IOPOLL mit mehreren Aufgaben einrichtet, die Einreichungen für den Ring abschließen, kann ein lokaler Nutzer das System abstürzen lassen oder seine Berechtigungen dafür eskalieren. |
Hoch |
GKE on VMware
Aktualisiert: 14. 07. 2022
| Beschreibung | Schweregrad |
|---|---|
|
Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Aktualisierung vom 21. Juli 2022:Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt. COS
UbuntuSie müssen nichts unternehmen. GKE on VMware verwendet die betroffenen Versionen des Linux-Kernels nicht. |
Keine |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Was soll ich tun?Sie müssen nichts unternehmen. GKE on AWS verwendet die betroffenen Versionen des Linux-Kernels nicht. |
Keine |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Was soll ich tun?Sie müssen nichts unternehmen. GKE on Azure verwendet die betroffenen Versionen des Linux-Kernels nicht. |
Keine |
Google Distributed Cloud Virtual for Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Was soll ich tun?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2022-016
Veröffentlicht: 23.06.2022
Aktualisiert: 22.11.2022
Referenz: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
Informationen zu ausgeführten Clustern in 2022-11-22 Update: Autopilot-Informationen zu ausgeführten Clustern hinzugefügt:
Update vom 29.07.2022 : Aktualisierte Versionen für GKE on VMware, GKE on AWS und GKE on Azure.
GKE
Aktualisiert : 22.11.2022
| Beschreibung | Schweregrad |
|---|---|
|
Update vom 22.11.2022:Autopilot-Cluster sind von CVE-2022-29581 nicht betroffen, aber anfällig für CVE-2022-29582 und CVE-2022-1116. Aktualisierung vom 29. Juli 2022: Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für Container-Optimized OS und Ubuntu für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke. CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren. |
Hoch |
GKE on VMware
Aktualisiert: 2022-07-29
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 29. Juli 2022:Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücken behebt.
Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen GKE on VMware v1.9 und höher für Container-Optimized OS- und Ubuntu-Images. Wie gehe ich am besten vor?Versionen von GKE on VMware, die Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die GKE on VMware-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke. CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren. |
Hoch |
GKE on AWS
Aktualisiert: 2022-07-29
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 29. Juli 2022:Aktualisierung: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen: Aktuelle Generation:
Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on AWS. Wie gehe ich am besten vor?Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die GKE on AWS-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke. CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren. |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Update vom 29.07.2022: Update: Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on Azure. Wie gehe ich am besten vor?Versionen von GKE on Azure, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die GKE in Azure-Versionen zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke. CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren. |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser Sicherheitslücke nicht betroffen, da in der Distribution kein Betriebssystem enthalten ist. |
Keine |
GCP-2022-014
Veröffentlicht: 26.04.2022
Zuletzt aktualisiert: 22.11.2022
Update vom 22.11.2022: Informationen zu Arbeitslasten hinzugefügt, die in Autopilot-Clustern ausgeführt werden.
Update vom 12.05.2022: Aktualisierte Patchversionen für GKE on AWS und GKE on Azure.
Referenz: CVE-2022-1055, CVE-2022-27666
GKE
Aktualisiert : 22.11.2022
| Beschreibung | Schweregrad |
|---|---|
Update vom 22.11.2022:GKE Autopilot-Cluster und Arbeitslasten, die in GKE Sandbox ausgeführt werden, sind von diesen Sicherheitslücken nicht betroffen. Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden kommenden GKE-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
GKE on AWS
Aktualisiert: 12.05.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen: Aktuelle Generation
Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
GKE on Azure
Aktualisiert: 12.05.2022
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022 : Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da Linux nicht in seinem Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-1055 und CVE-2022-27666 enthalten. Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
GCP-2022-013
Veröffentlicht: 11.04.2022
Zuletzt aktualisiert: 20.04.2022
Referenz: CVE-2022-23648
Aktualisierung vom 22.04.2022: Aktualisierte Patchversionen für Google Distributed Cloud Virtual for Bare Metal und GKE on VMware.
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (Container-Optimized OS und Ubuntu), die standardmäßig containerd verwenden. Es sind alle GKE-, Autopilot- und GKE Sandbox-Knoten betroffen. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knoten auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird. |
Mittel |
GKE on VMware
Aktualisiert: 22.04.2022
| Beschreibung | Schweregrad |
|---|---|
|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE on VMware mit aktiviertem Stackdriver, das containerd verwendet. GKE on VMware-Versionen 1.8, 1.9 und 1.10 sind betroffen Wie gehe ich am besten vor?Aktualisierung vom 22. April 2022 : Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.
Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:
Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden. |
Mittel |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on AWS-Versionen sind betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen. GKE on AWS (aktuelle Generation)
GKE on AWS (vorherige Generation)
Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden. |
Mittel |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on Azure-Versionen sind betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten so auszuführen:
Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden. |
Mittel |
Google Distributed Cloud Virtual for Bare Metal
Aktualisiert: 22.04.2022
| Beschreibung | Schweregrad |
|---|---|
|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle Google Distributed Cloud Virtual for Bare Metal-Dienste, die containerd verwenden. Google Distributed Cloud Virtual for Bare Metal-Versionen 1.8, 1.9 und 1.10 sind betroffen Wie gehe ich am besten vor?Aktualisierung vom 22. April 2022 : Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal enthalten Code, der diese Sicherheitslücke behebt.
Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal:
Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden. |
Mittel |
GCP-2022-012
Veröffentlicht: 07.04.2022
Zuletzt aktualisiert: 22.11.2022
Referenz: CVE-2022-0847
Aktualisierung vom 22.11.2022: Aktualisierte Informationen zu Arbeitslasten, die GKE Sandbox verwenden.
GKE
Aktualisiert : 22.11.2022
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen. Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft alle GKE-Knotenpoolversionen ab v1.22, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher). GKE-Knotenpools, die das Ubuntu-Betriebssystem verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie eine Patchversion anderer Release-Versionen anwenden, ohne sich von einer Version abmelden zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren. Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Knotenpoolversionen von GKE integriert. |
Hoch |
GKE on VMware
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft GKE on VMware v1.10 für Container-Optimized OS-Images. Derzeit verwendet GKE auf VMware mit Ubuntu die Kernel-Version 5.4 und ist nicht anfällig für diesen Angriff. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf die folgende GKE on VMware-Version:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren. Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Versionen von GKE on VMware integriert. |
Hoch |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft verwaltete Cluster von GKE on AWS v1.21 und Cluster, die in GKE on AWS (vorherige Generation) v1.19, v1.20, v1.21 ausgeführt werden und Ubuntu verwenden. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Für verwaltete GKE on AWS empfehlen wir ein Upgrade Ihrer Nutzercluster und des Knotenpools auf eine der folgenden Versionen:
Für k-lite GKE on AWS empfehlen wir ein Upgrade Ihrer AWSManagementService-, AWSCluster- und AWSNodePool-Objekte auf die folgende Version:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren. |
Hoch |
GKE on Azure
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft verwaltete Cluster von GKE on Azure v1.21, die Ubuntu verwenden. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen Ihnen, ein Upgrade Ihrer Nutzercluster und Ihres Knotenpools auf die folgende Version durchzuführen:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren. |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da Linux nicht in seinem Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-0847 enthalten. |
Hoch |
GCP-2022-011
Veröffentlicht: 22.03.2022
Zuletzt aktualisiert: 11.08.2022
Aktualisierung vom 11. August 2022 : Weitere Details zu den Auswirkungen der SMT-Fehlkonfiguration wurden hinzugefügt.
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 11.08.2022:Weitere Informationen zur Konfiguration von Simultaneous Multi-Threading (SMT) wurden hinzugefügt. SMT sollte eigentlich deaktiviert werden, war aber für die aufgeführten Versionen aktiviert. Wenn Sie SMT für einen in einer Sandbox ausgeführten Knotenpool manuell aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert. Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:
Wenn Sie SMT für einen Knotenpool manuell aktiviert haben, wirkt sich dieses Problem nicht auf Ihre in der Sandbox ausgeführten Knoten aus. Wie gehe ich am besten vor?Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen durch:
Welche Sicherheitslücke wird mit diesem Patch behoben?Bei GKE-Sandbox-Knoten ist SMT standardmäßig deaktiviert, um Seitenkanalangriffe abzuschwächen. |
Mittel |
GCP-2022-009
Veröffentlicht: 01.03.2022
Zuletzt aktualisiert: 15.03.2022
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 15.03.2022:Härtungsleitfäden für GKE on AWS und GKE on Azure wurden hinzugefügt. Abschnitt zur Persistenz mit Webhooks hinzugefügt. Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden. Nutzer von GKE Standard- und GKE-Clustern können optional eine ähnliche Härtungsrichtlinie wie unten beschrieben anwenden. Technische DetailsHostzugriff mit Richtlinienausnahmen von DrittanbieternDamit Google Cloud die vollständige Verwaltung von Knoten und ein SLA auf Pod-Ebene anbieten kann, beschränkt GKE Autopilot einige privilegierte Kubernetes-Primitive, um Arbeitslasten auf Low-Level-Zugriff auf die Knoten-VM zu beschränken. So legen Sie den Kontext fest: GKE Standard bietet vollständigen Zugriff auf das zugrunde liegende Computing, Autopilot bietet eingeschränkten Zugriff und Cloud Run bietet keinen Zugriff. Autopilot lockert einige dieser Einschränkungen für eine vordefinierte Liste von Drittanbietertools, sodass Kunden diese Tools auf Autopilot ohne Änderung ausführen können. Mithilfe von Berechtigungen zum Erstellen von Pods mit Hostpfadbereitstellungen konnte der Forscher einen privilegierten Container in einem Pod ausführen, der wie eines dieser Tools von Drittanbietern aussieht, um Zugriff auf den Host zu erhalten. Die Möglichkeit, Pods auf diese Weise zu planen, wird im GKE-Standard erwartet, aber nicht in GKE Autopilot, da die Hostzugriffseinschränkungen umgangen wurden, die zum Aktivieren des zuvor beschriebenen SLA verwendet wurden. Dieses Problem wurde durch eine Verkürzung der Pod-Spezifikation des Drittanbieters für Zulassungslisten behoben. Rechteausweitung von Root-auf-KnotenZusätzlich zum Hostzugriff wurden die Pods Wir haben die Als Maßnahmen zur Systemhärtung, um diese Art von Angriff in Zukunft zu verhindern, werden wir in einer künftigen Version eine Autopilot-Einschränkung anwenden, die Aktualisierungen des Dienstkontos verschiedener Objekte im Namespace
Ergänzung am 15.03.2022: Persistenz mit mutierenden WebhooksIn dem Bericht wurden mutierende Webhooks verwendet, um sich nach der Kompromittierung einen privilegierten Zugang zum Cluster zu verschaffen. Dies sind Standardteile der Kubernetes API, die von Clusteradministratoren erstellt und für Administratoren sichtbar gemacht werden, wenn Autopilot Unterstützung für benutzerdefinierte Webhooks hinzufügt. Privilegierte Dienstkonten im Standard-NamespaceAutopilot-Richtlinienerzwinger haben zuvor zwei Dienstkonten im Standard-Namespace zugelassen: Wie gehe ich am besten vor?Die Richtlinien aller GKE Autopilot-Cluster wurden aktualisiert, um den unbeabsichtigten Hostzugriff zu entfernen, und keine weiteren Maßnahmen sind erforderlich. In den nächsten Wochen wird eine weitere Härtung der Richtlinien als sekundärer Schutz auf Autopilot angewendet. Sie müssen nichts weiter tun. GKE-Standardcluster und GKE-Cluster sind nicht betroffen, da Nutzer bereits Zugriff auf den Host haben. Zur Härtung des Systems können Nutzer von GKE-Standardclustern und GKE-Clustern einen ähnlichen Schutz mit einer Gatekeeper-Richtlinie anwenden, die die Selbständerung privilegierter Arbeitslasten verhindert. Eine Anleitung finden Sie in den folgenden Anleitungen zur Härtung:
|
Niedrig |
GCP-2022-008
Veröffentlicht: 23. 02. 2022
Aktualisiert: 28. 04. 2022
Referenz:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Das Envoy-Projekt hat kürzlich mehrere Sicherheitslücken festgestellt: CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657 und
CVE-2022-21656, die sich auf GKE-Cluster mit Anthos Service Mesh, Istio-on-GKE oder benutzerdefinierte Istio-Deployments auswirken können. Alle unten aufgeführten Probleme wurden im Envoy-Release 1.21.1 behoben. Technischer Hintergrund Weitere Details zu diesen Sicherheitslücken finden Sie hier. Was soll ich tun?GKE-Cluster, auf denen Anthos Service Mesh ausgeführt wird, sollten auf eine unterstützte Version mit den oben genannten Sicherheitslücken aktualisiert werden.
GKE-Cluster, auf denen Istio-on-GKE ausgeführt wird, sollten auf eine unterstützte Version aktualisiert werden, wobei die oben genannten Sicherheitslücken behoben werden
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656 |
Hoch |
GKE on VMware
Aktualisiert: 28. 04. 2022
| Beschreibung | Schweregrad |
|---|---|
Envoy hat kürzlich mehrere Fehlerkorrekturen für Sicherheitslücken veröffentlicht. GKE on VMware ist betroffen, da Envoy mit Metrics-Server verwendet wird. Die von uns behobenen Envoy-CVEs sind unten aufgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind:
Istio hat kürzlich eine Fehlerkorrektur für eine Sicherheitslücke veröffentlicht. Anthos auf VMware ist betroffen, da Istio für eingehenden Traffic verwendet wird. Die von uns behobenen Istio CVEs sind unten aufgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind. CVE-2022-23635 (CVSS-Punktzahl 7,5, hoch): Istiod stürzt ab, wenn Anfragen mit einem speziell erstellten Autorisierungsheader empfangen werden.Die vollständigen Beschreibungen und Auswirkungen der oben genannten CVEs finden Sie in den Sicherheitsbulletins. Erweiterung vom 28. 04. 2020: Was soll ich tun?Mit den folgenden Versionen von GKE on VMware werden diese Sicherheitslücken behoben:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656 |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
| Beschreibung | Schweregrad |
|---|---|
Envoy hat kürzlich mehrere Fehlerkorrekturen für Sicherheitslücken veröffentlicht. Anthos auf Bare-Metal ist betroffen, da Envoy für Metrics-Server verwendet wird.
Die von Envoy behobenen CVEs in Version 1.10.3, 1.9.6 und 1.8.9 sind unten aufgeführt:
Die vollständigen Beschreibungen und Auswirkungen der oben genannten CVEs finden Sie in den Sicherheitsbulletins. Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656 |
Hoch |
GCP-2022-006
Veröffentlicht: 14.02.2022
Aktualisiert: 16.05.2022
Aktualisierung vom 16.05.2022: Die GKE-Version 1.19.16-gke.7800 oder höher wurde der Liste der Versionen hinzugefügt, die Code zur Behebung dieser Sicherheitslücke enthalten.
Aktualisierung vom 12. Mai 2022 : Patchversionen für GKE, Google Distributed Cloud Virtual for Bare Metal, GKE on VMware und GKE on AWS wurden aktualisiert.
Das Sicherheitsbulletin für GKE on AWS wurde beim Hinzufügen am 23.02.2022 nicht angezeigt. Dieses Problem wurde behoben.
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In der Funktion Wie gehe ich am besten vor?Aktualisierung vom 16.05.2022: Zusätzlich zu den im 2022-05-12-Update genannten GKE-Versionen enthält die GKE-Version 1.19.16-gke.7800 oder höher auch Code, der dieses Problem behebt. Sicherheitslücke. Aktualisierung vom 12.05.2022: Die folgenden Versionen von GKE enthalten Code, mit dem diese Sicherheitslücke behoben wird:
Aktualisierung vom 15.02.2022:Korrigierte gVisor-Anweisung. Die Sicherheitslücke befindet sich im
Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben?CVE-2022-0492 |
Niedrig |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
In der Funktion Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt. COS
Die Sicherheitslücke befindet sich im cgroup_release_agent_write des Linux-Kernels in der Kernel/cgroup/cgroup-v1.c-Funktion und kann als Container-Aufschlüsselung verwendet werden. GKE on VMware ist durch den Schutz durch das AppArmor-Standardprofil unter Ubuntu und COS nicht betroffen. Einige Kunden können jedoch weiterhin angreifbar sein, wenn sie die Sicherheitseinschränkungen für Pods durch Änderungen des Felds „Pod“ oder „securityContext“ gelockert haben, z.B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben?CVE-2022-0492 |
Niedrig |
GKE on AWS
| Beschreibung | Schweregrad |
|---|---|
|
In der Funktion Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden Versionen der aktuellen und vorherigen Generation von GKE on AWS enthalten Code, der diese Sicherheitslücke behebt: Aktuelle Generation
Aktualisierung vom 23.02.2022:Hinweis für GKE on AWS wurde hinzugefügt. Frühere und aktuelle Generationen von GKE on AWS sind durch den Schutz des AppArmor-Standardprofils unter Ubuntu nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben?CVE-2022-0492 |
Niedrig |
GKE Enterprise aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
In der Funktion Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on Azure enthalten Code, der diese Sicherheitslücke behebt:
GKE on Azure ist aufgrund des Schutzes durch das AppArmor-Standardprofil unter Ubuntu nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben?CVE-2022-0492 |
Niedrig |
GCP-2022-005
Veröffentlicht: 11.02.2022Zuletzt aktualisiert: 15.02.2022
Referenz: CVE-2021-43527
GKE
| Beschreibung | Schweregrad |
|---|---|
Aktualisierung vom 15.02.2022: Einige GKE-Versionen im ursprünglichen Bulletin wurden mit anderen Fehlerkorrekturen kombiniert und ihre Versionsnummern wurden vor der Veröffentlichung erhöht. Patches sind in den folgenden GKE-Versionen verfügbar:
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Sowohl auf GKE-COS- als auch auf Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss. CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS#7 oder PKCS#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie NSS verwendet/konfiguriert wird. GKE verwendet libnss3 nicht für über das Internet zugängliche APIs. Die Auswirkungen sind auf den Hostcode beschränkt, der außerhalb von Containern ausgeführt wird. Dies ist aufgrund des minimalen Designs von Chrome OS klein. GKE-Code, der in Containern mit dem Basis-Image "golang" ausgeführt wird, ist nicht betroffen. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden GKE-Versionen durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können, abhängig davon, wie sie NSS konfigurieren, betroffen sein. Sowohl COS- als auch Ubuntu-Images von GKE on VMware sind anfälliger Version installiert und müssen gepatcht werden. CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS \#7 oder PKCS \#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie sie NSS konfigurieren/verwenden. Anthos on VMware verwendet libnss3 nicht für öffentlich zugängliche APIs. Daher sind die Auswirkungen begrenzt und der Schweregrad dieses CVE für GKE on VMware wird als „Mittel“ eingestuft. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden Anthos-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden Anthos-Versionen durch:
Verwenden Sie eine GKE on VMware-Version, die älter als 1.18 ist? Sie verwenden eine Anthos-Version ohne SLA und sollten ein Upgrade auf eine der unterstützten Versionen in Betracht ziehen. Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GKE Enterprise aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Bei Anthos-Clustern auf Azure-Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss. CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS#7 oder PKCS#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie sie NSS konfigurieren/verwenden. Anthos-Cluster in Azure verwenden libnss3 nicht für öffentlich zugängliche APIs. Daher sind die Auswirkungen begrenzt und der Schweregrad dieser CVEs für Anthos in Azure wird als "Mittel" bewertet. Wie gehe ich am besten vor?Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden Anthos on Azure-Versionen durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GCP-2022-004
Veröffentlicht: 04.02.2022Referenz: CVE-2021-4034
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Wie gehe ich am besten vor?GKE ist nicht betroffen, da das anfällige Modul "policykit-1" nicht auf COS- oder Ubuntu-Images installiert wird, die in GKE verwendet werden. Sie müssen nichts unternehmen. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Die GKE Enterprise-Standardkonfiguration gewährt Nutzern bereits vollständige „sudo“-Berechtigungen, sodass dieser Exploit den vorhandenen Sicherheitsstatus von GKE Enterprise nicht ändert Technische DetailsDamit dieser Programmfehler ausgenutzt werden kann, benötigt ein Angreifer sowohl eine Nicht-Root-Shell im Knotendateisystem als auch die anfällige pkexec-Version. Während GKE on VMware in seinen Release-Images eine Version von policykit-1 enthält, ermöglicht die GKE Enterprise-Standardkonfiguration jedem Nutzer mit Shell-Zugriff, der bereits über Shell-Zugriff verfügt, jedoch passwortlose Sudo-Funktionen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. GKE on VMware ist nicht betroffen. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
| GKE on AWS ist nicht betroffen. Das anfällige Modul Policykit-1 ist nicht auf Ubuntu-Images installiert, die von der aktuellen und früheren Versionen von GKE on AWS verwendet werden. | Keine |
GKE Enterprise aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Die GKE Enterprise-Standardkonfiguration gewährt Nutzern bereits vollständige „sudo“-Berechtigungen, sodass dieser Exploit den vorhandenen Sicherheitsstatus von GKE Enterprise nicht ändert Technische DetailsDamit dieser Programmfehler ausgenutzt werden kann, benötigt ein Angreifer sowohl eine Nicht-Root-Shell im Knotendateisystem als auch die anfällige pkexec-Version. Während GKE on Azure eine Version von policykit-1 in seinen Release-Images enthält, ermöglicht die GKE Enterprise-Standardkonfiguration jedem Nutzer mit Shell-Zugriff, der bereits über Shell-Zugriff verfügt, passwortlose sudo-Befehle, sodass Nutzer durch diese Sicherheitslücke keine weiteren Berechtigungen erhalten, als sie bereits haben. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. GKE on Azure ist nicht betroffen. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
| Google Distributed Cloud Virtual for Bare Metal kann je nach Paketen betroffen sein, die auf dem vom Kunden verwalteten Betriebssystem installiert sind. Scannen Sie Ihre Betriebssystem-Images und patchen Sie sie bei Bedarf. | Keine |
GCP-2022-002
Veröffentlicht: 01.02.2022Aktualisiert: 07.03.2022
Referenz: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Aktualisierung von 2022-02-04 zu GKE: Roll-out-Updates für GKE und GKE on VMware wurden hinzugefügt.
GKE
Aktualisiert: 07.03.2022
| Beschreibung | Schweregrad |
|---|---|
|
Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den COS-Versionshinweisen. Technische DetailsIn CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann. Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht. Der Exploit-Pfad für diese Sicherheitslücke, die auf dem Systemaufruf "Unshare" basiert, wird in GKE Autopilot-Clustern standardmäßig mithilfe von seccomp-Filterung blockiert. Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt. Was soll ich tun?Aktualisierung vom 7. März 2022: Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um alle diese Sicherheitslücken sowohl für Ubuntu- als auch für COS-Images zu beheben. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden GKE-Versionen durch:
Aktualisierung vom 25. Februar 2022: Wenn Sie Ubuntu-Knoten-Images verwenden, reagiert 1.22.6-gke.1000 nicht auf CVE-2021-22600. Wir aktualisieren dieses Bulletin, sobald die Ubuntu-Patchversionen verfügbar sind. Aktualisierung vom 23.02.2022: Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Aktualisieren Sie Ihre Cluster auf eine der folgenden GKE-Versionen.
Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar. Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden GKE-Versionen.
Außerdem werden die Versionen 1.22 und 1.23 ausgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GKE-Cluster aktiviert
Zuletzt aktualisiert: 23.02.2022
| Beschreibung | Schweregrad |
|---|---|
|
Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE on Azure. Weitere Informationen finden Sie in den COS-Versionshinweisen. Technische DetailsIn CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann. Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht. Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt. Was soll ich tun?Aktualisierung vom 23. Februar 2022: Version 1.10.2 (Korrekturen von CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185) ist jetzt für den 1. März geplant. Aktualisierung vom 23.02.2022: Patchversionen wurden hinzugefügt, die auf CVE-2021-2260 reagieren. Version 1.10.1 behebt nicht CVE-2021-22600, sondern die anderen Sicherheitslücken. Die nicht freigegebenen Versionen 1.9.4 und 1.10.2 beheben CVE-2021-22600. Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden GKE on VMware-Versionen durch:
Aktualisierung vom 04.02.2022: Es wurden Informationen zu Ubuntu-Images hinzugefügt, die CVE-2021-22600 nicht berücksichtigen. Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden GKE on VMware-Versionen durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE on Azure. Weitere Informationen finden Sie in den COS-Versionshinweisen. Technische DetailsIn CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann. Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht. Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt. Wie gehe ich am besten vor?GKE on AWSDie Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgende GKE on AWS-Version durch:
GKE on AWS (vorherige Generation)Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on AWS (vorherige Generation) wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden GKE on AWS-Versionen (vorherige Generation) durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GKE Enterprise aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE on Azure. Weitere Informationen finden Sie in den COS-Versionshinweisen. Technische DetailsIn CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann. Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht. Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgende GKE on Azure-Version durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GCP-2021-024
Veröffentlicht: 21.10.2021Referenz: CVE-2021-25742
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Wie gehe ich am besten vor?Dieses Sicherheitsproblem wirkt sich nicht auf Ihre GKE-Clusterinfrastruktur oder die Clusterinfrastruktur in GKE Enterprise-Umgebungen aus. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Wie gehe ich am besten vor?Dieses Sicherheitsproblem wirkt sich nicht auf Ihre GKE-Clusterinfrastruktur oder die Clusterinfrastruktur in GKE Enterprise-Umgebungen aus. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Wie gehe ich am besten vor?Dieses Sicherheitsproblem wirkt sich nicht auf Ihre GKE-Clusterinfrastruktur oder die Clusterinfrastruktur in GKE Enterprise-Umgebungen aus. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Wie gehe ich am besten vor?Dieses Sicherheitsproblem wirkt sich nicht auf Ihre GKE-Clusterinfrastruktur oder die Clusterinfrastruktur in GKE Enterprise-Umgebungen aus. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837. |
Keine |
GCP-2021-019
Veröffentlicht: 29.09.2021GKE
| Beschreibung | Schweregrad |
|---|---|
|
Es gibt ein bekanntes Problem, bei dem eine Bin ich betroffen?Wenn Ihre
kubectl get backendconfigs -A -o json | \
jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Dieses Problem betrifft die folgenden GKE-Versionen:
Wenn Sie Google Cloud Armor für Ihre Ingress-Ressourcen nicht über die Wie gehe ich am besten vor?Führen Sie ein Upgrade Ihrer GKE-Steuerungsebene auf eine der folgenden aktualisierten Versionen durch, in denen dieses Problem behoben wurde und die sichere Verwendung von
Sie können dieses Problem auch verhindern, indem Sie die Bereitstellung von Um dieses Problem zu vermeiden, aktualisieren Sie Ihre Da die Das folgende Beispielmanifest beschreibt eine
apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
name: my-backend-config
spec:
securityPolicy:
name: "ca-how-to-security-policy"
Wenn Sie CI/CD-Systeme oder -Tools haben, die regelmäßig |
Niedrig |
GCP-2021-022
Veröffentlicht: 23.09.2021GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im GKE Enterprise Identity Service (AIS)-LDAP-Modul von GKE in den VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke erkannt, bei der ein Startschlüssel, der zum Generieren von Schlüsseln verwendet wird, vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren. Technische DetailsEine kürzlich hinzugefügte Ergänzung für AIS-Code erstellt symmetrische Schlüssel mit dem "math/rand"-Modul von Golang, das für sicherheitsrelevanten Code nicht geeignet ist. Das Modul wird so verwendet, dass ein vorhersehbarer Schlüssel generiert wird. Während der Identitätsüberprüfung wird ein STS-Schlüssel (Secure Token Service) generiert, der anschließend mit einem einfach abzuleitenden symmetrischen Schlüssel verschlüsselt wird. Wie gehe ich am besten vor?Diese Sicherheitslücke betrifft nur Kunden, die AIS in den GKE on VMware-Versionen 1.8 und 1.8.1 verwenden. Führen Sie für Nutzer von GKE on VMware 1.8 ein Upgrade Ihrer Cluster auf die folgende Version durch:
|
Hoch |
GCP-2021-021
Veröffentlicht: 22.09.2021Referenz: CVE-2020-8561
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um Technische DetailsDurch diese Sicherheitslücke können Nutzer, die die Antworten von Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden. Was soll ich tun?Momentan müssen Sie nichts weiter tun. Derzeit verfügbare Versionen von GKE und GKE Enterprise enthalten die folgenden Schutzmaßnahmen, die vor dieser Art von Angriff schützen:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um Technische DetailsDurch diese Sicherheitslücke können Nutzer, die die Antworten von Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden. Was soll ich tun?Momentan müssen Sie nichts weiter tun. Derzeit verfügbare Versionen von GKE und GKE Enterprise enthalten die folgenden Schutzmaßnahmen, die vor dieser Art von Angriff schützen:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um Technische DetailsDurch diese Sicherheitslücke können Nutzer, die die Antworten von Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden. Was soll ich tun?Momentan müssen Sie nichts weiter tun. Derzeit verfügbare Versionen von GKE und GKE Enterprise enthalten die folgenden Schutzmaßnahmen, die vor dieser Art von Angriff schützen:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um Technische DetailsDurch diese Sicherheitslücke können Nutzer, die die Antworten von Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden. Was soll ich tun?Momentan müssen Sie nichts weiter tun. Derzeit verfügbare Versionen von GKE und GKE Enterprise enthalten die folgenden Schutzmaßnahmen, die vor dieser Art von Angriff schützen:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GCP-2021-018
Veröffentlicht: 15.09.2021Zuletzt aktualisiert: 24.09.2021
Referenz: CVE-2021-25741
Aktualisierung vom 24.09.2021: GKE on Bare Metal-Bulletin mit zusätzlichen Patchversionen aktualisiert.
Aktualisierung vom 20.09.2021: Bulletins für GKE on Bare Metal hinzugefügt
Update vom 16.09.2021: Bulletins für GKE on VMware hinzugefügt
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Technische Details:In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.Wie gehe ich am besten vor?Wir empfehlen Ihnen, ein Upgrade Ihrer Knotenpools auf eine der folgenden Versionen oder höher durchzuführen, um die neuesten Patches zu nutzen:
Die folgenden Versionen enthalten ebenfalls die Korrektur:
|
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Technische Details:In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.Wie gehe ich am besten vor?Aktualisiert am 24.09.2021: Die Patchversionen 1.8.3 und 1.7.4 sind jetzt verfügbar. Aktualisiert am 17.09.2021: Die Liste der verfügbaren Versionen, die den Patch enthalten, wurde korrigiert. Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Administratorcluster und Nutzercluster auf eine der folgenden Versionen durch:
|
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Technische Details:In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.Was soll ich tun?Aktualisierung vom 16.09.2021: Liste der unterstützten gke-Versionen für Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Folgendes:
|
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Technische Details:In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Bare Metal wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Administratorcluster und Nutzercluster auf eine der folgenden Versionen durch:
|
Hoch |
GCP-2021-017
Veröffentlicht: 01.09.2021Zuletzt aktualisiert: 23.09.2021
Referenz: CVE-2021-33909
CVE-2021-33910
GKE
| Beschreibung | Schweregrad |
|---|---|
Aktualisierung vom 23.09.2021:Container, die in GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke durch Angriffe aus dem Container nicht betroffen. Aktualisierung vom 15.09.2021:Die folgenden GKE-Versionen beheben die Sicherheitslücken:
Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Technische Details:In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
|
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Technische Details:In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
|
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Technische Details:In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt. Wie gehe ich am besten vor?Die Versionen der Linux- und COS-Knoten-Images für GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
Siehe Versionsverlauf – Kubernetes- und Knoten-Kernel-Versionen. |
Hoch |
GCP-2021-015
Veröffentlicht: 13.07.2021Zuletzt aktualisiert: 15.07.2021
Referenz: CVE-2021-22555
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit Technische Details
Bei diesem Angriff kann ein ausgehender Schreibvorgang in Was soll ich tun?Die folgenden Linux-Versionen in GKE wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit Technische Details
Bei diesem Angriff kann ein ausgehender Schreibvorgang in Wie gehe ich am besten vor?Die folgenden Versionen von Linux on GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GCP-2021-014
Veröffentlicht: 05.07.2021Referenz: CVE-2021-34527
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE-Windows-Knoten enthalten den betroffenen Warteschlangendienst nicht im Basis-Image. GKE-Windows-Deployments sind daher von diesem Angriff nicht gefährdet. Welche Sicherheitslücken werden mit diesem Bulletin behoben?
|
Hoch |
GCP-2021-012
Veröffentlicht: 01.07.2021Zuletzt aktualisiert: 09.07.2021
Referenz: CVE-2021-34824
GKE
| Beschreibung | Schweregrad |
|---|---|
Wie gehe ich am besten vor?Das Istio-Projekt disclosed eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können. Technische Details:Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet. Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Wie gehe ich am besten vor?GKE-Cluster führen Istio nicht standardmäßig aus und verwenden, falls aktiviert, die Istio-Version 1.6, die für diesen Angriff nicht anfällig ist. Wenn Sie Istio im Cluster auf Istio 1.8 oder höher installiert oder darauf aktualisiert haben, führen Sie ein Upgrade auf Istio auf die neueste unterstützte Version durch. |
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
Wie gehe ich am besten vor?Das Istio-Projekt disclosed eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können. Technische Details:Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet. Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Wie gehe ich am besten vor?Anthos-Cluster auf VMware v1.6 und v1.7 sind nicht anfällig für diesen Angriff. Anthos-Cluster auf VMware v1.8 sind anfällig. Wenn Sie Anthos-Cluster unter VMware v1.8 verwenden, führen Sie ein Upgrade auf die folgende Patchversion oder höher durch:
|
Hoch |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
Wie gehe ich am besten vor?Das Istio-Projekt disclosed eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können. Technische Details:Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet. Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Cluster, die mit Anthos Clusters on Bare Metal v1.8.0 erstellt oder aktualisiert wurden, sind von diesem CVE betroffen. Wie gehe ich am besten vor?Die Anthos-Versionen 1.6 und 1.7 sind von diesem Angriff nicht gefährdet. Wenn Sie v1.8.0-Cluster haben, laden Sie die Version 1.8.1 von bmctl herunter, installieren Sie sie und aktualisieren Sie Ihre Cluster auf die folgende Patchversion:
|
Hoch |
GCP-2021-011
Veröffentlicht: 04.06.2021Zuletzt aktualisiert: 19.10.2021
Referenz: CVE-2021-30465
Update vom 19.10.2021: Bulletins für GKE on VMware, GKE on AWS und GKE on Bare Metal hinzugefügt.
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet. Technische Details
Das Paket Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung. Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit. Wie gehe ich am besten vor?Mit einem neu veröffentlichten Patch für Führen Sie ein Upgrade Ihres GKE-Clusters auf eine der folgenden aktualisierten Versionen durch:
|
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Für GKE on VMware haben wir den Schweregrad dieser Sicherheitslücke mit der Bewertung MEDIUM bewertet, da für die Ausnutzung dieser Sicherheitslücke Pods erstellt werden müssen. Technische Details
Das Paket Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung. Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit. Wie gehe ich am besten vor?Mit einem neu veröffentlichten Patch für
|
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da es sich um eine Sicherheitslücke auf Betriebssystemebene handelt, sind GKE on AWS nicht anfällig. Technische Details
Das Paket Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung. Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit. Wie gehe ich am besten vor?Achten Sie darauf, dass die Betriebssystemversion, auf der Sie GKE on AWS ausführen, auf die neueste Betriebssystemversion mit einem aktualisiertenrunc-Paket aktualisiert wird.
|
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da es sich um eine Sicherheitslücke auf Betriebssystemebene handelt, ist GKE on Bare Metal nicht anfällig. Technische Details
Das Paket Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung. Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit. Wie gehe ich am besten vor?
Achten Sie darauf, dass die Betriebssystemversion, auf der Sie Google Distributed Cloud Virtual for Bare Metal ausführen, auf die neueste Betriebssystemversion mit einem aktualisierten |
Keine |
GCP-2021-006
Veröffentlicht: 11.05.2021Referenz: CVE-2021-31920
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Das Istio-Projekt disclosed eine neue Sicherheitslücke offen (CVE-2021-31920), die Istio betrifft. Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der eine HTTP-Anfrage mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden. Wie gehe ich am besten vor?Wir empfehlen dringend, GKE-Cluster zu aktualisieren und neu zu konfigurieren. Bitte führen Sie die beiden folgenden Schritte aus, um die Sicherheitslücke erfolgreich zu schließen:
|
Hoch |
GCP-2021-004
Veröffentlicht: 06.05.2021Referenz: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-29258, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen. GKE-Cluster führen Istio nicht standardmäßig aus und sind nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein. Wie gehe ich am besten vor?Aktualisieren Sie Ihre GKE-Steuerungsebene auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:
|
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-29258, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen. GKE on VMware verwendet standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial-of-Service sind. Wie gehe ich am besten vor?Zum Beheben dieser Sicherheitslücken führen Sie ein Upgrade Ihrer GKE on VMware auf eine der folgenden Patchversionen durch, sobald diese veröffentlicht werden:
|
Mittel |
GKE-Cluster aktiviert
Aktualisiert: 06.05.2021
| Beschreibung | Schweregrad |
|---|---|
|
In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-29258, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen. Google Distributed Cloud Virtual for Bare Metal verwendet standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial-of-Service sind. Wie gehe ich am besten vor?Zum Beheben dieser Sicherheitslücken führen Sie ein Upgrade Ihres Google Distributed Cloud Virtual for Bare Metal-Clusters auf eine der folgenden Patchversionen durch, wenn diese veröffentlicht werden:
|
Mittel |
GCP-2021-003
Veröffentlicht: 19.04.2021Referenz: CVE-2021-25735
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben ( CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen. In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Wie gehe ich am besten vor?Um diese Sicherheitslücke zu beheben, aktualisieren Sie Ihren GKE-Cluster auf eine der folgenden Patchversionen:
|
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben ( CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen. In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Wie gehe ich am besten vor?Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft. |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben ( CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen. In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Wie gehe ich am besten vor?Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft. |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben ( CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen. In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Wie gehe ich am besten vor?Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft. |
Mittel |
GCP-2021-001
Veröffentlicht: 28.01.2021Referenz: CVE-2021-3156
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Dienstprogramm Google Kubernetes Engine-Cluster (GKE) sind von dieser Sicherheitslücke nicht betroffen:
Was soll ich tun?Da GKE-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. GKE wird den Patch für diese Sicherheitslücke in die regelmäßigen künftigen Releases übernehmen. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Dienstprogramm GKE on VMware ist von dieser Sicherheitslücke nicht betroffen:
Wie gehe ich am besten vor?Da GKE on VMware-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. Für GKE on VMware wird der Patch für diese Sicherheitslücke in einem kommenden Release regelmäßig angewendet. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Dienstprogramm GKE on AWS ist von dieser Sicherheitslücke nicht betroffen:
Wie gehe ich am besten vor?Da GKE on AWS-Cluster nicht von dieser Sicherheitslücke betroffen sind, sind keine weiteren Maßnahmen erforderlich. Der Patch für diese Sicherheitslücke wird in einem zukünftigen Release in GKE on AWS regelmäßig angewendet. |
Keine |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Dienstprogramm Google Distributed Cloud Virtual for Bare-Metal-Cluster sind von dieser Sicherheitslücke nicht betroffen:
Wie gehe ich am besten vor?Da Google Distributed Cloud Virtual for Bare-Metal-Cluster nicht von dieser Sicherheitslücke betroffen sind, sind keine weiteren Maßnahmen erforderlich. Der Patch für diese Sicherheitslücke wird in einem zukünftigen Release in Google Distributed Cloud Virtual for Bare Metal regelmäßig angewendet. |
Keine |
GCP-2020-015
Veröffentlicht: 07.12.2020Zuletzt aktualisiert: 22.12.2021
Referenz: CVE-2020-8554
Aktualisierung vom 22.12.2021: Verwendet gcloud beta anstelle des Befehls gcloud.
Aktualisierung vom 15.12.2021: Zusätzliche Abhilfe für GKE.
GKE
| Beschreibung | Schweregrad |
|---|---|
Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
gcloud beta container clusters update –no-enable-service-externalips Aktualisiert am 15.12.2021: Für GKE ist jetzt die folgende Korrektur verfügbar:
Weitere Informationen finden Sie unter Clustersicherheit härten. Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen. Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Von dieser Sicherheitslücke sind alle GKE-Cluster (Google Kubernetes Engine) betroffen. Wie gehe ich am besten vor?Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben. Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion. Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:
Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
gcloud beta container clusters update –no-enable-service-externalips Aktualisiert am 15.12.2021: Für GKE ist jetzt die folgende Korrektur verfügbar:
Weitere Informationen finden Sie unter Clustersicherheit härten. Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen. Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Alle GKE on VMware sind von dieser Sicherheitslücke betroffen. Wie gehe ich am besten vor?Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben. Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion. Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:
Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
gcloud beta container clusters update –no-enable-service-externalips Aktualisiert am 15.12.2021: Für GKE ist jetzt die folgende Korrektur verfügbar:
Weitere Informationen finden Sie unter Clustersicherheit härten. Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen. Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. GKE on AWS ist von dieser Sicherheitslücke betroffen. Wie gehe ich am besten vor?Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben. Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion. Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:
Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die |
Mittel |
GCP-2020-014
Veröffentlicht: 20.10.2020Referenz: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Aktualisiert: 20.10.2020
| Beschreibung | Schweregrad |
|---|---|
|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
GKE ist nicht betroffen. Wie gehe ich am besten vor?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
Keine |
GKE-Cluster aktiviert
Updated: 10.10.2020
| Beschreibung | Schweregrad |
|---|---|
|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
GKE on VMware ist nicht betroffen. Wie gehe ich am besten vor?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
Keine |
GKE-Cluster aktiviert
Aktualisiert: 20.10.2020
| Beschreibung | Schweregrad |
|---|---|
|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
GKE on AWS ist nicht betroffen. Wie gehe ich am besten vor?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
Keine |
GCP-2020-012
Veröffentlicht: 14.09.2020Referenz: CVE-2020-14386
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen. Was soll ich tun?Sie können als Gegenmaßnahme für diese Sicherheitslücke ein Upgrade Ihrer Steuerungsebene durchführen. Aktualisieren Sie dann Ihre Knoten auf eine der unten aufgelisteten Patchversionen.
e Ausnutzung dieser Sicherheitslücke erfordert Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: Die Sicherheitslücke CVE-2020-14386, über die Container mit |
Hoch |
GKE-Cluster aktiviert
Aktualisiert: 17.09.2020
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE on VMware-Knoten sind betroffen. Wie gehe ich am besten vor?Um diese Sicherheitslücke zu schließen, aktualisieren Sie Ihren Cluster auf eine Patchversion. Die Sicherheitslücken werden in den folgenden {gke_on_prem_name}}-Versionen behoben. Dieses Bulletin wird aktualisiert, sobald die Patchversionen verfügbar sind:
e Ausnutzung dieser Sicherheitslücke erfordert Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: Die Sicherheitslücke CVE-2020-14386, über die Container mit |
Hoch |
GKE-Cluster aktiviert
Aktualisiert: 13.10.2020
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE on AWS-Knoten sind betroffen. Wie gehe ich am besten vor?Um diese Sicherheitslücke zu schließen, aktualisieren Sie Ihren Verwaltungsdienst und Ihre Nutzercluster auf eine Patchversion. Die folgenden geplanten GKE on AWS-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind:
Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: Die Sicherheitslücke CVE-2020-14386, über die Container mit |
Hoch |
GCP-2020-011
Veröffentlicht: 24.07.2020Referenz: CVE-2020-8558
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Damit ein Angreifer diese Sicherheitslücke in GKE-Clustern ausnutzen kann, muss er Netzwerkadministratorberechtigungen für die Google Cloud haben, in der die VPC des Clusters gehostet wird. Die Sicherheitslücke allein verleiht einem Angreifer keine Netzwerkadministratorberechtigungen. Aus diesem Grund wurde dieser Sicherheitslücke in GKE ein niedriger Schweregrad zugewiesen. Wie gehe ich am besten vor?Führen Sie zum Beheben dieser Sicherheitslücke ein Upgrade für die Knotenpools Ihres Clusters auf die folgenden GKE-Versionen (oder höher) aus:
Welche Sicherheitslücke wird mit diesem Patch behoben?Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558. |
Niedrig |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Wie gehe ich am besten vor?Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Die folgenden geplanten Versionen von GKE on VMware oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Welche Sicherheitslücke wird mit diesem Patch behoben?Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558. |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Damit diese Sicherheitslücken in Nutzerclustern behoben werden können, muss ein Angreifer Quellzielprüfungen auf den EC2-Instanzen im Cluster deaktivieren. Dazu muss der Angreifer auf den EC2-Instanzen AWS-IAM-Berechtigungen für Wie gehe ich am besten vor?Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Bei den folgenden geplanten Versionen von GKE on AWS oder neueren Versionen soll diese Sicherheitslücke behoben werden:
Welche Sicherheitslücke wird mit diesem Patch behoben?Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558. |
Niedrig |
GCP-2020-009
Veröffentlicht: 15.07.2020Referenz: CVE-2020-8559
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu. Was soll ich tun?Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Cluster werden in den nächsten Wochen automatisch aktualisiert und die Patchversionen werden bis zum 19. Juli 2020 verfügbar sein, um den Plan für ein manuelles Upgrade zu beschleunigen. Die folgenden (oder neueren) Versionen der GKE-Steuerungsebene enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten. |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu. Wie gehe ich am besten vor?Aktualisieren Sie Ihr Cluster auf eine Patchversion. Die folgenden zukünftigen Versionen von GKE on VMware enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten. |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu. Wie gehe ich am besten vor?GKE on AWS GA (1.4.1, verfügbar ab Ende Juli 2020) oder höher enthält den Patch für diese Sicherheitslücke. Wenn Sie eine ältere Version verwenden, laden Sie eine neue Version des anthos-gke-Befehlszeilentools herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu. Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten. |
Mittel |
GCP-2020-007
Veröffentlicht: 01.06.2020Referenz: CVE-2020-8555
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Was soll ich tun?Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Die überwiegende Mehrheit der Cluster führt bereits eine Patchversion aus. Bei den folgenden GKE-Versionen sowie alle neueren Versionen wurde diese Sicherheitslücke behoben:
Cluster mit Release-Versionen verwenden bereits Versionen der Steuerungsebene mit Risikominderung. Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte. Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Wenn Sie eine frühere Version verwenden, aktualisieren Sie Ihren vorhandenen Cluster auf eine Version, die diese Fehlerkorrektur enthält. Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte. Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Wie gehe ich am besten vor?GKE on AWS v0.2.0 oder höher enthält den Patch für diese Sicherheitslücke bereits. Wenn Sie eine ältere Version verwenden, laden Sie eine neue Version des anthos-gke-Befehlszeilentools herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu. Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte. Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von |
Mittel |
GCP-2020-006
Veröffentlicht: 01.06.2020Referenz: Kubernetes-Problem 91507
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patchversion auszuführen. Was soll ich tun?Sie können als Gegenmaßnahme für diese Sicherheitslücke ein Upgrade Ihrer Steuerungsebene durchführen. Aktualisieren Sie dann Ihre Knoten auf eine der unten aufgelisteten Patchversionen. Cluster mit Release-Versionen führen sowohl auf der Steuerungsebene als auch auf Knoten bereits Patchversionen aus:
Sehr wenige Container benötigen normalerweise Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke: Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patchversion auszuführen. Wie gehe ich am besten vor?Aktualisieren Sie Ihre Cluster auf die folgende oder eine neuere Version, um diese Sicherheitslücke für GKE on VMware zu beheben:
Normalerweise benötigen nur sehr wenige Container Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke: Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die |
Mittel |
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patchversion auszuführen. Wie gehe ich am besten vor?Laden Sie das anthos-gke-Befehlszeilentool herunter, das mindestens die folgende Version enthält, und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu:
Sehr wenige Container benötigen normalerweise Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke: Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die |
Mittel |
GCP-2020-005
Veröffentlicht: 07.05.2020Zuletzt aktualisiert: 07.05.2020
Referenz: CVE-2020-8835
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Im Linux-Kernel wurde kürzlich eine Sicherheitslücke entdeckt, die in CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten. GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich wie unten beschrieben ein Upgrade auf die neueste Patchversion durchzuführen. Knoten mit Container-Optimized OS sind nicht betroffen. Auf GKE on VMware ausgeführte Knoten sind nicht betroffen. Wie gehe ich am besten vor?Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Nur GKE-Ubuntu-Knoten mit GKE 1.16 oder 1.17 sind betroffen. Führen Sie zuerst ein Upgrade auf die neueste Version für den Master durch. Dieser Patch ist in Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 und neueren Releases verfügbar. Informationen zur Verfügbarkeit der Patches finden Sie in den Versionshinweisen. Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: In CVE-2020-8835 wird eine Sicherheitslücke in der Linux Kernel-Version 5.5.0 und neueren Versionen beschrieben, die es einem schädlichen Container mit minimaler Nutzerinteraktion in Form eines ausführbaren Befehls ermöglicht, Lese- und Schreibvorgänge im Kernel-Speicher durchzuführen und so auf dem Hostknoten Code auf Root-Ebene auszuführen. Der Schweregrad dieser Sicherheitslücke ist "Hoch". |
Hoch |
GCP-2020-004
Veröffentlicht: 07.05.2020Aktualisiert: 20.05.2020
Referenz: CVE-2019-11254
GKE-Cluster aktiviert
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht. Sie können diese Sicherheitslücke minimieren, indem Sie einschränken, welche Clients Netzwerkzugriff auf Ihre Kubernetes API-Server haben. Wie gehe ich am besten vor?Wir empfehlen ein Upgrade Ihrer Cluster auf Patchversionen, die die Fehlerkorrektur für diese Sicherheitslücke enthalten, sobald sie verfügbar sind. Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:
Welche Sicherheitslücken werden mit diesem Patch behoben?Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben: |
Mittel |
GCP-2020-003
Veröffentlicht: 31.03.2020Aktualisiert: 20.03.2020
Referenz: CVE-2019-11254
GKE
| Beschreibung | Schweregrad |
|---|---|
|
In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht. In GKE-Clustern, die autorisierte Masternetzwerke verwenden, und privaten Clustern ohne öffentlichen Endpunkt tritt diese Sicherheitslücke seltener auf. Wie gehe ich am besten vor?Wir empfehlen ein Upgrade Ihres Clusters auf eine Patchversion mit der Fehlerkorrektur für diese Sicherheitslücke. Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:
Welche Sicherheitslücken werden mit diesem Patch behoben?Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben: |
Mittel |
GCP-2020-002
Veröffentlicht: 23.03.2020Zuletzt aktualisiert: 23.03.2020
Referenz: CVE-2020-8551, CVE-2020-8552
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Es wurden zwei DoS-Sicherheitslücken in Kubernetes offengelegt. Die eine betrifft den API-Server, die andere Kubelets. Weitere Einzelheiten finden Sie in den Kubernetes-Problemen 89377 und 89378. Wie gehe ich am besten vor?GKE-Nutzer sind vor CVE-2020-8551 geschützt, sofern nur vertrauenswürdige Nutzer Anfragen innerhalb des internen Netzwerks des Clusters senden dürfen. Bei Verwendung autorisierter Masternetzwerke tritt CVE-2020-8552 außerdem seltener auf. Wann gibt es einen Patch?Patches für CVE-2020-8551 erfordern ein Upgrade des Knotens. Die Patchversionen, mit denen die Sicherheitslücke entschärft wird, sind unten aufgeführt:
Patches für CVE-2020-8552 erfordern ein Masterupgrade. Die Patchversionen, mit denen die Sicherheitslücke entschärft wird, sind unten aufgeführt:
|
Mittel |
GCP-january_21_2020
Veröffentlicht: 20.01.2020Aktualisiert: 24.01.2020
Referenz: CVE-2019-11254
GKE
| Beschreibung | Schweregrad |
|---|---|
|
Aktualisierung vom 24. Januar 2020: Die Einführung von Patchversionen hat bereits begonnen und wird bis zum 25. Januar 2020 abgeschlossen. Microsoft hat eine Sicherheitslücke in der Windows Crypto API und ihrer Validierung von Elliptische-Kurven-Signaturen offengelegt. Weitere Informationen finden Sie in der Offenlegung von Microsoft. Was soll ich tun? Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Es sind nur Knoten betroffen, die Windows Server ausführen. Kunden, die Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. So aktualisieren Sie die Container: Erstellen Sie Ihre Container mit den aktuellen Basis-Container-Images von Microsoft und wählen Sie dabei ein servercore- oder nanoserver-Tag mit LastUpdated-Zeit vom 14. Januar 2020 oder später aus. So aktualisieren Sie die Knoten: Die Einführung von Patchversionen hat bereits begonnen und wird bis zum 24. Januar 2020 abgeschlossen. Sie können entweder bis zu diesem Zeitpunkt warten und ein Knotenupgrade auf eine GKE-Patchversion vornehmen oder Windows Update verwenden, um den neuesten Windows-Patch jederzeit manuell bereitzustellen. Die Sicherheitslücke wurde in folgenden Patchversionen entschärft:
Welche Sicherheitslücken werden mit diesem Patch behoben? Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücken: CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über TLS-Nutzerverbindungen mit der betroffenen Software zu entschlüsseln. |
NVD Base Score: 8,1 (hoch) |
Archivierte Sicherheitsbulletins
Sicherheitsbulletins vor 2020 finden Sie im Sicherheitsbulletin-Archiv.