Boletins de segurança

Todos os boletins de segurança dos seguintes produtos estão descritos nesta página:

  • Google Kubernetes Engine (GKE)
  • GKE no VMware
  • GKE na AWS
  • GKE no Azure
  • GKE em Bare Metal

Geralmente, as vulnerabilidades são mantidas sob sigilo e não podem ser divulgadas até que as partes afetadas tenham a oportunidade de solucioná-las. Nesses casos, as notas de lançamento do produto mencionarão "atualizações de segurança" até que a divulgação seja liberada. No momento da liberação, as notas serão atualizadas para indicar a vulnerabilidade solucionada pelo patch.

Quando o GKE emite um boletim de segurança que se relaciona diretamente com a configuração ou versão do cluster, podemos enviar uma notificação de cluster SecurityBulletinEvent com informações sobre a vulnerabilidade e as ações que você pode realizar, se aplicável. Consulte Notificações de cluster para mais informações sobre esse assunto.

Para mais informações sobre como o Google gerencia vulnerabilidades e patches de segurança do GKE e do GKE Enterprise, consulte Patch de segurança.

As plataformas do GKE e do GKE Enterprise não usam componentes como ingress-nginx e o ambiente de execução de contêiner CRI-O e não são afetadas por nenhuma vulnerabilidades nesses componentes. Se você instalar componentes de outras fontes, consulte as atualizações de segurança e os dispositivos de patch desses componentes.

Use este feed XML para se inscrever nos boletins de segurança desta página. Assinar

GCP-2024-018

Publicação: 12/03/2024
Referência: CVE-2024-1085

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-1085

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-1085

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-1085

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-1085

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-1085

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2024-017

Publicação: 06/03/2024
Referência: CVE-2023-3611

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3611

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3611

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3611

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3611

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3611

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2024-014

Publicação: 26/02/2024
Referência: CVE-2023-3776

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3776

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3776

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3776

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3776

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3776

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2024-013

Publicação: 23/02/2024
Referência: CVE-2023-3610

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3610

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3610

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3610

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3610

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-3610

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2024-012

Publicação: 20/02/2024
Referência: CVE-2024-0193

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-0193

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-0193

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-0193

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-0193

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2024-0193

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2024-011

Publicação: 15/02/2024
Referência: CVE-2023-6932

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-6932

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-6932

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-6932

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-6932

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS:

  • CVE-2023-6932

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2024-010

Publicação: 14/02/2024
Referência: CVE-2023-6931

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2024-008

Publicação: 12/02/2024
Referência: CVE-2023-5528

GKE;

Descrição Gravidade

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE Standard que executam nós do Windows Server e usam um plug-in de armazenamento em árvore podem ser afetados.

Os clusters do GKE Autopilot e pools de nós do GKE que usam o GKE Sandbox não são afetados porque não são compatíveis com os nós do Windows Server.

O que devo fazer?

Determine se há nós do Windows Server em uso nos clusters:


kubectl get nodes -l kubernetes.io/os=windows

Verificar registros de auditoria para evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados para determinar se essa vulnerabilidade está sendo explorada. Os eventos de criação de volumes permanentes com campos de caminho local que contêm caracteres especiais são uma forte indicação de exploração.

Atualize o cluster do GKE e os pools de nós para uma versão com patch. As versões do GKE a seguir foram atualizadas para corrigir essa vulnerabilidade. Mesmo que o upgrade automático de nós esteja ativado, é recomendável fazer o upgrade manual dos pools de nós do cluster e do Windows Server para uma das seguintes versões do GKE ou mais recentes:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós.

Alta

GKE no VMware

Descrição Gravidade

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE no VMware que executam nós do Windows Server e usam um plug-in de armazenamento em árvore podem ser afetados.

O que devo fazer?

Determine se há nós do Windows Server em uso nos clusters:


kubectl get nodes -l kubernetes.io/os=windows

Verificar registros de auditoria para evidências de exploração. Os registros de auditoria do Kubernetes podem ser auditados para determinar se essa vulnerabilidade está sendo explorada. Os eventos de criação de volumes permanentes com campos de caminho local que contêm caracteres especiais são uma forte indicação de exploração.

Atualize o cluster e os pools de nós do GKE no VMware para uma versão com patch. As versões a seguir do GKE na VMware foram atualizadas para corrigir essa vulnerabilidade. Mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça o upgrade manual do cluster e dos pools de nós do Windows Server para uma destas versões do GKE no VMware ou mais recentes:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós.

Alta

GKE na AWS

Descrição Gravidade

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE na AWS não são afetados.

O que devo fazer?

Nenhuma ação necessária

Nenhuma

GKE no Azure

Descrição Gravidade

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE no Azure não são afetados.

O que devo fazer?

Nenhuma ação necessária

Nenhuma

GKE em Bare Metal

Descrição Gravidade

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows de uma maneira que permita o escalonamento de privilégios de administrador nesses nós.

Os clusters do GKE em Bare Metal não são afetados.

O que devo fazer?

Nenhuma ação necessária

Nenhuma

GCP-2024-005

Publicação: 31/01/2024
Atualizado em: 06/03/2024
Referência: CVE-2024-21626

Atualização de 06/03/2024: adição de versões de patch para o GKE no VMware
Atualização de 28/02/2024: adição de versões de patch para o Ubuntu
Atualização de 15/02/2024: esclarecemos que as versões de patch 1.25 e 1.26 do Ubuntu na atualização de 14/02/2024 podem causar nós não íntegros.
Atualização de 14/02/2024: adicionamos versões de patch para Ubuntu
Atualização de 06/02/2024: adicionamos versões de patch para o Container-Optimized OS.

GKE;

Atualizado em : 06/03/2024

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Container-Optimized OS e do Ubuntu pode conseguir acesso total ao sistema de arquivos do nó.

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 28/02/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Atualização de 15/02/2024: devido a um problema, as seguintes versões de patch do Ubuntu da atualização de 14/02/2024 podem fazer com que seus nós entrem em um estado não íntegro. Não faça upgrade para as versões de patch a seguir. Este boletim será atualizado quando versões de patch mais recentes para o Ubuntu estiverem disponíveis para as versões 1.25 e 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Se você já tiver feito upgrade para uma dessas versões de patch, faça downgrade manual do pool de nós para uma versão anterior no canal de lançamento.


Atualização de 14/02/2024: as versões do GKE a seguir foram atualizadas com código para corrigir essa vulnerabilidade no Ubuntu. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Atualização de 06/02/2024: as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade no Container-Optimized OS. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça upgrade manualmente do cluster e dos pools de nós do Container-Optimized OS para uma das seguintes versões do GKE ou mais recente:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.


Estamos atualizando o GKE com um código para corrigir essa vulnerabilidade. Este boletim será atualizado quando houver versões de patch disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivos vazaram acidentalmente para o processo runc init que é executado em um contêiner. runc também não verificou se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem. Uma imagem de contêiner mal-intencionada ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e a falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alta

GKE no VMware

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Container-Optimized OS e do Ubuntu pode conseguir acesso total ao sistema de arquivos do nó.

O que devo fazer?

Atualização de 06/03/2024: as seguintes versões do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou versões posteriores:

  • 1.28.200
  • 1.16.6
  • 1.15.9

As versões de patch e uma avaliação de gravidade do GKE no VMware estão em andamento. Este boletim será atualizado com essas informações assim que estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivos vazaram acidentalmente para o processo runc init que é executado em um contêiner. runc também não verificou se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem. Uma imagem de contêiner mal-intencionada ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e a falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alta

GKE na AWS

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Container-Optimized OS e do Ubuntu pode conseguir acesso total ao sistema de arquivos do nó.

O que devo fazer?

As versões de patch e uma avaliação de gravidade para o GKE na AWS estão em andamento. Este boletim será atualizado com essas informações assim que estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivos vazaram acidentalmente para o processo runc init que é executado em um contêiner. runc também não verificou se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem. Uma imagem de contêiner mal-intencionada ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e a falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alta

GKE no Azure

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Container-Optimized OS e do Ubuntu pode conseguir acesso total ao sistema de arquivos do nó.

O que devo fazer?

As versões de patch e uma avaliação de gravidade para o GKE no Azure estão em andamento. Este boletim será atualizado com essas informações assim que estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivos vazaram acidentalmente para o processo runc init que é executado em um contêiner. runc também não verificou se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem. Uma imagem de contêiner mal-intencionada ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e a falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alta

GKE em Bare Metal

Descrição Gravidade

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods pode conseguir acesso total ao sistema de arquivos do nó.

O que devo fazer?

As versões de patch e uma avaliação de gravidade para o GKE em Bare Metal estão em andamento. Este boletim será atualizado com essas informações assim que estiverem disponíveis.

Quais vulnerabilidades são corrigidas por esse patch?

runc é uma ferramenta de baixo nível para gerar e executar contêineres do Linux usados em pods do Kubernetes. Nas versões do runc anteriores aos patches lançados neste boletim de segurança, vários descritores de arquivos vazaram acidentalmente para o processo runc init que é executado em um contêiner. runc também não verificou se o diretório de trabalho final de um contêiner estava dentro do namespace de montagem. Uma imagem de contêiner mal-intencionada ou um usuário com permissão para executar pods arbitrários pode usar uma combinação dos descritores de arquivo vazados e a falta de validação do diretório de trabalho para ter acesso ao namespace de montagem do host de um nó e acessar todo o sistema de arquivos do host e substituir binários arbitrários no nó.

Alta

GCP-2024-004

Publicação: 24/01/2024
Atualizado em: 07/02/2024
Referência: CVE-2023-6817

Atualização de 07/02/2024 : adicionamos versões de patch para o Ubuntu.

GKE;

Atualizado em : 07/02/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 07/02/2024:as versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2024-003

Publicação: 19/01/2024
Atualização: 26/01/2024
Atualização de 26/01/2024: esclarecimento do número de clusters afetados e as ações que tomamos para ajudar a reduzir o impacto.

GKE;

Atualizado em : 26/01/2024

Descrição Gravidade

Atualização de 26/01/2024: a pesquisa de segurança que encontrou um pequeno número de clusters do GKE com uma configuração incorreta criada pelo cliente envolvendo o grupo system:authenticated foi publicada. A postagem do blog da pesquisadora se refere a 1.300 clusters com algumas vinculações mal configuradas e 108 com privilégios altos. Trabalhamos em estreita colaboração com os clientes afetados para notificá-los e ajudar a remover as vinculações mal configuradas.


Identificamos vários clusters em que os usuários concederam privilégios do Kubernetes ao grupo system:authenticated, que inclui todos os usuários com uma Conta do Google. Esses tipos de vinculações não são recomendados porque violam o princípio de privilégio mínimo e concedem acesso a grupos muito grandes de usuários. Consulte a seção "O que devo fazer" para saber como encontrar esses tipos de vinculações.

Recentemente, um pesquisador de segurança relatou descobertas de clusters com configurações incorretas do RBAC no nosso programa de relatórios de vulnerabilidades.

A abordagem do Google para autenticação é tornar a autenticação no Google Cloud e no GKE o mais simples e segura possível, sem adicionar etapas de configuração complexas. A autenticação informa quem o usuário é. A Autorização é onde o acesso é determinado. Portanto, o grupo system:authenticated no GKE que contém todos os usuários autenticados por meio do provedor de identidade do Google está funcionando conforme o esperado e funciona da mesma maneira que o identificador allAuthenticatedUsers do IAM.

Com isso em mente, tomamos várias medidas para reduzir o risco de usuários cometerem erros de autorização com os usuários e grupos integrados do Kubernetes, incluindo system:anonymous, system:authenticated e system:unauthenticated. Todos esses usuários/grupos representam um risco para o cluster quando têm permissões. Discutimos algumas atividades do invasor direcionadas a configurações incorretas do RBAC e defesas disponíveis no Kubecon em novembro de 2023.

Para proteger os usuários contra erros de autorização acidental com esses usuários/grupos do sistema, temos:

  • Por padrão, novas vinculações do ClusterRole altamente privilegiados cluster-admin para o usuário system:anonymous, o grupo system:authenticated ou o grupo system:unauthenticated na versão 1.28 do GKE foram bloqueadas.
  • Inclusão de regras de detecção no Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) como parte do Security Command Center.
  • Criação de regras de prevenção configuráveis no Policy Controller com K8sRestrictRoleBindings.
  • Notificações por e-mail enviadas para todos os usuários do GKE com vinculações a esses usuários/grupos, solicitando que eles revisem a configuração.
  • Criação de recursos de autorização de rede e recomendações para restringir o acesso aos clusters como primeira camada de defesa.
  • Aumentou o reconhecimento do problema em uma palestra no Kubecon em novembro de 2023.

Os clusters que aplicam restrições a redes autorizadas têm uma primeira camada de defesa: não podem ser atacados diretamente da Internet. No entanto, ainda recomendamos remover essas vinculações para fins de defesa em profundidade e para proteger contra erros nos controles de rede.
Há vários casos em que as vinculações a usuários ou grupos do sistema Kubernetes são usadas intencionalmente, por exemplo, para bootstrapping do kubeadm, o painel Rancher e os secrets selados do Bitnami. Confirmamos com esses fornecedores de software que as vinculações estão funcionando conforme o esperado.

Estamos investigando maneiras de proteger ainda mais contra a configuração incorreta do RBAC com esses usuários/grupos do sistema por meio de prevenção e detecção.

O que devo fazer?

Para evitar que qualquer nova vinculação de cluster-admin com o usuário system:anonymous, system:authenticated ou grupo system:unauthenticated, os usuários podem fazer upgrade para o GKE v1.28 ou posterior (notas da versão), em que a criação dessas vinculações está bloqueada.

As vinculações atuais precisam ser revisadas seguindo esta orientação.

Média

GKE no VMware

Não há atualizações no momento.

GKE na AWS

Não há atualizações no momento.

GKE no Azure

Não há atualizações no momento.

GKE em Bare Metal

Não há atualizações no momento.

GCP-2024-002

Publicação: 17/01/2024
Atualizado em: 20/02/2024
Referência: CVE-2023-6111

Atualização de 20/02/2024: versões de patch adicionadas para o GKE no VMware.

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Atualizado em : 20/02/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que devo fazer?

Atualização de 20/02/2024:as seguintes versões do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou versões posteriores: 1.28.100


Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-051

Publicação: 28/12/2023
Referência: CVE-2023-3609

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-050

Publicação: 27/12/2023
Referência: CVE-2023-3389

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-049

Publicação: 20/12/2023
Referência: CVE-2023-3090

GKE;

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil Unconfined do seccomp ou permitir CAP_NET_ADMIN.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-048

Publicação: 15/12/2023
Atualizado em: 21/12/2023
Referência: CVE-2023-3390

Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

GKE;

Atualizado em : 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-047

Publicado : 14/12/2023

GKE;

Descrição Gravidade

Um invasor que tenha comprometido o contêiner de geração de registros do Fluent Bit pode combinar esse acesso com altos privilégios exigidos pelo Anthos Service Mesh (em clusters que o ativaram) para escalonar privilégios no cluster. Os problemas com o Fluent Bit e o Anthos Service Mesh foram atenuados, e as correções já estão disponíveis. Essas vulnerabilidades não podem ser exploradas por conta própria no GKE e exigem um comprometimento inicial. Não temos conhecimento de nenhum exemplo de exploração dessas vulnerabilidades.

Esses problemas foram relatados por meio do nosso Programa de recompensa para descobertas de vulnerabilidades.

O que devo fazer?

As versões a seguir do GKE foram atualizadas com código para corrigir essas vulnerabilidades no Fluent Bit e para usuários do Anthos Service Mesh gerenciado. Por fins de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos fazer upgrade manual do cluster e dos pools de nós para uma destas versões do GKE ou posteriores:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Um recurso recente dos canais de lançamento permite que você aplique um patch sem ter que cancelar a inscrição em um canal. Isso permite proteger os nós até que a nova versão se torne o padrão para seu canal de lançamento específico

Se o cluster usar o Anthos Service Mesh no cluster, será preciso fazer upgrade manual para uma das seguintes versões (notas de lançamento):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades estão sendo corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor comprometa o contêiner de geração de registros do Fluent Bit. Não estamos cientes de nenhuma vulnerabilidade existente no Fluent Bit que possa levar a essa condição de pré-requisito para o escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O GKE usa o Fluent Bit para processar registros de cargas de trabalho executadas em clusters. O Fluent Bit no GKE também foi configurado para coletar registros das cargas de trabalho do Cloud Run. A montagem do volume configurada para coletar esses registros deu ao Fluent Bit acesso aos tokens da conta de serviço do Kubernetes para outros pods em execução no nó. O pesquisador usou esse acesso para descobrir um token de conta de serviço altamente privilegiado para clusters com o Anthos Service Mesh ativado.

O Anthos Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Anthos Service Mesh para escalonar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster

Removemos o acesso do Fluent Bit aos tokens da conta de serviço e reformulamos a funcionalidade do Anthos Service Mesh para remover os privilégios excedentes.

Média

GKE no VMware

Descrição Gravidade

Apenas os clusters do GKE no VMware que usam o Anthos Service Mesh são afetados.

O que devo fazer?

Se o cluster usar o Anthos Service Mesh no cluster, será preciso fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro comprometa ou saia de um contêiner ou tenha raiz em um nó do cluster. Não estamos cientes de nenhuma vulnerabilidades existentes que possam levar a essa condição de pré-requisito para escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Anthos Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Anthos Service Mesh para ampliar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster.

Reformulamos a funcionalidade do Anthos Service Mesh para remover privilégios excessivos.

Média

GKE na AWS

Descrição Gravidade

Apenas os clusters do GKE na AWS que usam o Anthos Service Mesh serão afetados.

O que devo fazer?

Se o cluster usa o Anthos Service Mesh no cluster, é necessário fazer upgrade manual para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro comprometa ou saia de um contêiner ou tenha raiz em um nó do cluster. Não estamos cientes de nenhuma vulnerabilidades que possam levar a essa condição de pré-requisito para o escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Anthos Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Anthos Service Mesh para ampliar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster.

Reformulamos a funcionalidade do Anthos Service Mesh para remover privilégios excessivos.

Média

GKE no Azure

Descrição Gravidade

Apenas os clusters do GKE no Azure que usam o Anthos Service Mesh serão afetados.

O que devo fazer?

Se o cluster usa o Anthos Service Mesh no cluster, é necessário fazer upgrade manual para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro comprometa ou saia de um contêiner ou tenha raiz em um nó do cluster. Não estamos cientes de nenhuma vulnerabilidades que possam levar a essa condição de pré-requisito para o escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Anthos Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Anthos Service Mesh para ampliar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster.

Reformulamos a funcionalidade do Anthos Service Mesh para remover privilégios excessivos.

Média

GKE em Bare Metal

Descrição Gravidade

Apenas os clusters do GKE em bare metal que usam o Anthos Service Mesh são afetados.

O que devo fazer?

Se o cluster usar o Anthos Service Mesh no cluster, será preciso fazer upgrade manualmente para uma das seguintes versões (notas da versão):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Quais vulnerabilidades são corrigidas por esse patch?

As vulnerabilidades abordadas neste boletim exigem que um invasor primeiro comprometa ou saia de um contêiner ou tenha raiz em um nó do cluster. Não estamos cientes de nenhuma vulnerabilidades que possam levar a essa condição de pré-requisito para o escalonamento de privilégios. Corrigimos essas vulnerabilidades como medidas de proteção para evitar uma possível cadeia de ataque completa no futuro.

O Anthos Service Mesh exigia altos privilégios para fazer as modificações necessárias na configuração de um cluster, incluindo a capacidade de criar e excluir pods. O pesquisador usou o token da conta de serviço privilegiado do Kubernetes do Anthos Service Mesh para ampliar os privilégios iniciais comprometidos criando um novo pod com privilégios de administrador do cluster.

Reformulamos a funcionalidade do Anthos Service Mesh para remover privilégios excessivos.

Média

GCP-2023-046

Publicação: 22/11/2023
Atualizado em: 04/03/2024
Referência: CVE-2023-5717

Atualização de 04/03/2024 : foram adicionadas versões do GKE para o GKE no VMware.

Atualização de 22/01/2024 : adicionamos versões de patch do Ubuntu.

GKE;

Atualizado em : 22/01/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 22/01/2024: as versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Atualizado em : 29/02/2024

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

O que devo fazer?

Atualização de 04/03/2024: as versões a seguir do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões ou mais recentes:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Alta

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-045

Publicação: 20/11/2023
Atualizado em: 21/12/2023
Referência: CVE-2023-5197

Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

GKE;

Atualizado em : 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

Os clusters do GKE Standard e do Autopilot foram afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Container-Optimized OS para uma das seguintes versões de patch ou mais recentes:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

As versões secundárias a seguir foram afetadas. Faça upgrade dos pools de nós do Ubuntu para uma das seguintes versões de patch ou mais recentes:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão do patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-042

Publicação: 13/11/2023
Atualizado em: 15/11/2023
Referência: CVE-2023-4147

Atualização de 15/11/2023 : esclarece que apenas as versões secundárias listadas precisam fazer upgrade para uma versão com patch correspondente para o GKE.

GKE;

Atualizado em : 15/11/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

Os clusters do GKE Standard foram afetados. Os clusters do Autopilot do GKE não são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 15/11/2023: só será necessário fazer upgrade para uma das versões com patch listadas neste boletim se você usar essa versão secundária nos seus nós. Por exemplo, se você usar a versão 1.27 do GKE, será necessário fazer upgrade para a versão com patch correspondente. No entanto, se você usar a versão 1.24 do GKE, não vai precisar fazer upgrade para uma versão com patch.


Faça upgrade dos pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

É possível aplicar versões de patch de canais de lançamento mais recentes se o cluster executar a mesma versão secundária no próprio canal de lançamento. Esse recurso permite proteger os nós até que a versão com patch se torne o padrão no seu canal de lançamento. Para saber mais, consulte Executar versões de patch de um canal mais recente.

Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-041

Publicação: 08/11/2023
Atualizado em: 21/11/2023, 05/12/2023, 21/12/2023
Referência: CVE-2023-4004

Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

Atualização de 05/12/2023 : outras versões do GKE foram adicionadas para os pools de nós do Container-Optimized OS.

Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE;

Atualizado : 21/11/2023, 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 05/12/2023: algumas versões do GKE estavam ausentes. Esta é uma lista atualizada das versões do GKE para as quais é possível atualizar o Container-Optimized OS:

  • 1.24.17-gke.200 ou mais recente
  • 1.25.13-gke.200 ou mais recente.
  • 1.26.8-gke.200 ou mais recente.
  • 1.27.4-gke.2300 ou mais recente
  • 1.28.1-gke.1257000 ou mais recente

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-040

Publicação: 06/11/2023
Atualizado em: 21/11/2023, 21/12/2023
Referência: CVE-2023-4921

Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE;

Atualizado em : 21/11/2023, 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-039

Publicação: 06/11/2023
Atualizado em: 21/11/2023, 16/11/2023
Referência: CVE-2023-4622

Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

Atualização de 16/11/2023 : a vulnerabilidade associada a este boletim de segurança é a CVE-2023-4622. A CVE-2023-4623 foi listada incorretamente como a vulnerabilidade em uma versão anterior do boletim de segurança.

GKE;

Atualizado em : 21/11/2023, 16/11/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE no VMware

Atualizado em : 16/11/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE na AWS

Atualizado em : 16/11/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE no Azure

Atualizado em : 16/11/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE em Bare Metal

Atualizado em : 16/11/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-038

Publicação: 06/11/2023
Atualizado em: 21/11/2023, 21/12/2023
Referência: CVE-2023-4623

Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE;

Atualizado em : 21/11/2023, 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-037

Publicação: 06/11/2023
Atualizado em: 21/11/2023, 21/12/2023
Referência: CVE-2023-4015

Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE;

Atualizado em : 21/11/2023, 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.27.5-gke.1647000

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

O que devo fazer?

Pendente

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

O que devo fazer?

Pendente

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

O que devo fazer?

Pendente

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Nenhuma

GCP-2023-035

Publicação: 26/10/2023
Atualizado em 21/11/2023, 21/12/2023
Referência: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE;

Atualizado em : 21/11/2023, 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

clusters do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que devo fazer?

Alta

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que devo fazer?

Alta

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que devo fazer?

Alta

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

Alta

GCP-2023-033

Publicação: 24/10/2023
Atualizado em: 21/11/2023, 21/12/2023
Referência: CVE-2023-3777

Atualização de 21/12/2023 : esclarece que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados e que as cargas de trabalho do GKE Sandbox não serão.

Atualização de 21/11/2023 : esclareça que apenas as versões secundárias listadas precisam fazer upgrade para uma versão de patch correspondente do GKE.

GKE;

Atualizado em : 21/11/2023, 21/12/2023

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN. As cargas de trabalho do GKE Sandbox também não serão afetadas.

clusters do Autopilot são afetados.

Clusters que usam o GKE Sandbox são afetados.

O que devo fazer?

Atualização de 21/11/2023 : só será necessário fazer upgrade para uma das versões de patch listadas neste boletim se você usar essa versão secundária nos seus nós. As versões secundárias que não estiverem listadas não serão afetadas.

Faça upgrade dos seus pools de nós do Container-Optimized OS para uma das versões a seguir ou mais recentes:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Faça upgrade dos pools de nós do Ubuntu para uma das versões a seguir ou mais recente:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Alta

GKE no VMware

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

O que devo fazer?

GKE na AWS

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

O que devo fazer?

GKE no Azure

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

O que devo fazer?

GKE em Bare Metal

Descrição Gravidade

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar a um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

O que devo fazer?

Nenhuma ação é necessária. O GKE em Bare Metal não é afetado porque não agrupa um sistema operacional na distribuição.

GCP-2023-030

Publicação: 10/10/2023
Atualizado em: 14/02/2024
Referência: CVE-2023-44487CVE-2023-39325

Atualização de 14/02/2024: adição de versões de patch para o GKE no VMware
Atualização de 09/11/2023: CVE-2023-39325 adicionada. Atualização das versões do GKE com os patches mais recentes para CVE-2023-44487 e CVE-2023-39325.

GKE;

Atualizado em : 09/11/2023

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados.

O que devo fazer?

Atualização de 09/11/2023: lançamos novas versões do GKE que incluem os patches de segurança para Go e Kubernetes, que podem ser atualizados nos seus clusters agora. Nas próximas semanas, vamos lançar outras mudanças no plano de controle do GKE para reduzir ainda mais esse problema.

As seguintes versões do GKE foram atualizadas com patches para CVE-2023-44487 e CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Recomendamos que você aplique a mitigação a seguir assim que possível e faça upgrade para a versão com patch mais recente, quando disponível.

Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre qual versão fazer o upgrade do seu plano de controle. Também vamos tornar os patches visíveis na postura de segurança do GKE, quando disponíveis para seu cluster. Para receber uma notificação do Pub/Sub quando um patch estiver disponível para seu canal, ative as notificações de cluster.

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Mitigar configurando redes autorizadas para acesso ao plano de controle:

É possível adicionar redes autorizadas aos clusters atuais. Para saber mais, consulte Rede autorizada para clusters atuais.

Além das redes autorizadas adicionadas, há endereços IP predefinidos que podem acessar o plano de controle do GKE. Para saber mais sobre esses endereços, consulte Acesso aos endpoints do plano de controle. Os itens a seguir resumem o isolamento de clusters:

  • Os clusters particulares com --master-authorized-networks e baseados em PSC com --master-authorized-networks e --no-enable-google-cloud configurados são os mais isolados.
  • Os clusters públicos legados com --master-authorized-networks e clusters baseados em PSC com --master-authorized-networks e --enable-google-cloud (padrão) configurados também podem ser acessados por:
    • Endereços IP públicos de todas as VMs do Compute Engine no Google Cloud
    • Endereços IP do Google Cloud Platform

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-44487, permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do GKE.

Alta

GKE no VMware

Atualizado em : 14/02/2024

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Kubernetes. O GKE no VMware cria clusters do Kubernetes que, por padrão, não podem ser acessados diretamente pela Internet e são protegidos contra essa vulnerabilidade.

O que devo fazer?

Atualização de 14/02/2024 : as versões a seguir do GKE no VMware foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para as seguintes versões de patch ou mais recentes:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Se você configurou seus clusters do Kubernetes no GKE no VMware para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador do firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça upgrade para a versão de patch mais recente, quando disponível, o mais rápido possível.

Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Alta

GKE na AWS

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Kubernetes. O GKE na AWS cria clusters particulares do Kubernetes que não são diretamente acessíveis à Internet por padrão e são protegidos contra essa vulnerabilidade.

O que devo fazer?

Se você configurou o GKE na AWS para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador de firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça upgrade para a versão de patch mais recente, quando disponível, o mais rápido possível.

Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Alta

GKE no Azure

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Kubernetes. O GKE no Azure cria clusters particulares do Kubernetes que, por padrão, não podem ser acessados diretamente pela Internet e são protegidos contra essa vulnerabilidade.

O que devo fazer?

Se você configurou os clusters do GKE no Azure para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador do firewall para bloquear ou limitar esse acesso.

Recomendamos que você faça upgrade para a versão de patch mais recente, quando disponível, o mais rápido possível.

Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Alta

GKE em Bare Metal

Descrição Gravidade

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um ataque de negação de serviço (DoS) do plano de controle do Kubernetes. O Anthos em Bare Metal cria clusters do Kubernetes que não são diretamente acessíveis à Internet por padrão e são protegidos contra essa vulnerabilidade.

O que devo fazer?

Se você configurou os clusters do Kubernetes do Anthos em bare metal para ter acesso direto à Internet ou a outras redes não confiáveis, recomendamos trabalhar com o administrador do firewall para bloquear ou limitar esse acesso. Para saber mais, consulte a Visão geral da segurança do GKE em Bare Metal.

Recomendamos que você faça upgrade para a versão de patch mais recente, quando disponível, o mais rápido possível.

Os patches do Golang serão lançados em 10 de outubro. Quando estiverem disponíveis, vamos criar e qualificar um novo servidor da API Kubernetes com esses patches e lançar uma versão com patch do GKE. Quando a versão do GKE estiver disponível, vamos atualizar este boletim com orientações sobre para qual versão fazer upgrade do plano de controle.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade CVE-2023-44487 permite que um invasor execute um ataque de negação de serviço nos nós do plano de controle do Kubernetes.

Alta

GCP-2023-026

Publicação: 06/09/2023
Referência: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE;

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes.

Os clusters do GKE só serão afetados se incluírem nós do Windows.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça upgrade manualmente do cluster e dos pools de nós para uma destas versões do GKE:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

O plano de controle do GKE será atualizado na semana de 04/09/2023 para atualizar o csi-proxy para a versão 1.1.3. Se você atualizar os nós antes da atualização do plano de controle, precisará atualizá-los novamente após a atualização para aproveitar o novo proxy. É possível atualizar os nós novamente, mesmo sem alterar a versão, executando o comando gcloud container clusters upgrade e transmitindo a sinalização --cluster-version com a mesma versão do GKE que o pool de nós já está executando. É necessário usar a CLI gcloud para essa solução alternativa. Isso causará uma atualização, independentemente das janelas de manutenção.

Um recurso recente dos canais de lançamento permite que você aplique um patch sem ter que cancelar a inscrição em um canal. Isso permite que você proteja seus nós até que a nova versão se torne o padrão para seu canal de lançamento específico.

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-3676, um agente malicioso pode criar uma especificação de pod com strings de caminho do host que contêm comandos do PowerShell. O kubelet não tem limpeza de entrada e passa essa string de caminho elaborada para o executor de comando como um argumento em que ele executaria partes da string como comandos separados. Esses comandos seriam executados com os mesmos privilégios administrativos do Kubelet.

Com a CVE-2023-3955, o Kubelet concede aos usuários capazes de criar pods a capacidade de executar o código no mesmo nível de permissão que o agente do Kubelet, permissões privilegiadas.

Com a CVE-2023-3893, uma falta semelhante de limpeza de entradas permite que um usuário capaz de criar pods em nós do Windows que executam o kubernetes-csi-proxy para encaminhar privilégios de administrador nesses nós.

Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Eventos de criação de pods com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e Secrets que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração.

Alta

GKE no VMware

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes.

os clusters só vão ser afetados se incluírem nós do Windows.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-3676, um agente malicioso pode criar uma especificação de pod com strings de caminho do host que contêm comandos do PowerShell. O kubelet não tem limpeza de entrada e passa essa string de caminho elaborada para o executor de comando como um argumento em que ele executaria partes da string como comandos separados. Esses comandos seriam executados com os mesmos privilégios administrativos do Kubelet.

Com a CVE-2023-3955, o Kubelet concede aos usuários capazes de criar pods a capacidade de executar o código no mesmo nível de permissão que o agente do Kubelet, permissões privilegiadas.

Com a CVE-2023-3893, uma falta semelhante de limpeza de entradas permite que um usuário capaz de criar pods em nós do Windows que executam o kubernetes-csi-proxy para encaminhar privilégios de administrador nesses nós.

Os registros de auditoria do Kubernetes podem ser usados para detectar se essa vulnerabilidade está sendo explorada. Eventos de criação de pods com comandos do PowerShell incorporados são uma forte indicação de exploração. ConfigMaps e Secrets que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração.

Alta

GKE na AWS

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes.

O que devo fazer?

O GKE na AWS não é afetado por essas CVEs. Você não precisa fazer nada.

Nenhuma

GKE no Azure

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes.

O que devo fazer?

O GKE no Azure não é afetado por essas CVEs. Você não precisa fazer nada.

Nenhuma

GKE em Bare Metal

Descrição Gravidade

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) foram descobertas no Kubernetes, em que um usuário capaz de criar pods em nós do Windows pode conseguir encaminhar privilégios de administrador nesses nós. Elas afetam as versões Windows do Kubelet e o proxy CSI do Kubernetes.

O que devo fazer?

O GKE em Bare Metal não é afetado por essas CVEs. Você não precisa fazer nada.

Nenhuma

GCP-2023-018

Data de publicação: 27/06/2023
Referência: CVE-2023-2235

GKE;

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS são afetados.

Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alta

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no VMware foram afetados.

O que devo fazer?

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alta

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alta

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no Azure foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-2235, a função perf_group_detach não verificava o "attach_state" dos irmãos do evento antes de chamar add_event_to_groups(). No entanto, "remove_on_exec" tornou possível chamar "list_del_event()" antes de desanexar do grupo, o que permitiu usar um ponteiro suspenso, causando uma vulnerabilidade de uso após a liberação.

Alta

GKE em Bare Metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE.

O que devo fazer?

Nenhuma ação é necessária.

Nenhuma

GCP-2023-017

Data de publicação: 26/06/2023
Data de atualização: 11/07/2023
Referência: CVE-2023-31436

Atualização de 11/07/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436.

GKE;

Data de atualização: 11/07/2023

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que devo fazer?

Atualização de 11/07/2023: versões de patch do Ubuntu estão disponíveis.

As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a vulnerabilidade CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alta

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no VMware foram afetados.

O que devo fazer?

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alta

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE na AWS foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alta

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE no Azure foram afetados.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

Com a CVE-2023-31436, foi encontrada uma falha de acesso à memória fora do limite no subsistema de controle de tráfego (QoS) do kernel do Linux em como um usuário aciona a função qfq_change_class com um valor de MTU incorreto do dispositivo de rede usado como lmax. Essa falha permite que um usuário local falhe ou possivelmente encaminhe seus privilégios no sistema.

Alta

GKE em Bare Metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE.

O que devo fazer?

Nenhuma ação é necessária.

Nenhuma

GCP-2023-016

Data de publicação: 26/06/2023
Referência: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GKE;

Descrição Gravidade

Diversas vulnerabilidades foram descobertas no Envoy, que é usado no Anthos Service Mesh (ASM). Elas foram relatadas separadamente como GCP-2023-002.

O GKE não é enviado com o ASM e não é afetado por essas vulnerabilidades.

O que devo fazer?

Se você instalou o ASM separadamente para os clusters do GKE, consulte GCP-2023-002.

Nenhuma

GKE no VMware

Descrição Gravidade

Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 e CVE-2023-27487 para desvios em uma malha de serviço do GKE no Eles foram informados separadamente como GCP-2023-002, mas queremos garantir que os clientes do GKE Enterprise atualizem as versões que incluem o ASM.

O que devo fazer?

O código das seguintes versões do GKE na VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Quais vulnerabilidades são corrigidas por esse patch?

CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy.

CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.

CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.

CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.

CVE-2023-27487: o cabeçalho x-envoy-original-path precisa ser interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

Alta

GKE na AWS

Descrição Gravidade

Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Anthos Service Mesh. Elas foram relatadas separadamente como GCP-2023-002.

O GKE na AWS não é fornecido com o ASM e não é afetado.

O que devo fazer?

Nenhuma ação é necessária.

Nenhuma

GKE no Azure

Descrição Gravidade

Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) no Envoy, que é usado no Anthos Service Mesh. Elas foram relatadas separadamente como GCP-2023-002.

O GKE no Azure não é fornecido com o ASM e não é afetado.

O que devo fazer?

Nenhuma ação é necessária.

Nenhuma

GKE em Bare Metal

Descrição Gravidade

Foram descobertas várias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 e CVE-2023-27487 no Anthos Service Mesh no Envoy, que podem ser descobertas em um serviço malicioso do Eles foram informados separadamente como GCP-2023-002, mas queremos garantir que os clientes do GKE Enterprise atualizem as versões que incluem o ASM.

O que devo fazer?

As seguintes versões do GKE em Bare Metal foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE em Bare Metal:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Quais vulnerabilidades são corrigidas por esse patch?

CVE-2023-27496: se o Envoy estiver em execução com o filtro OAuth ativado exposto, um ator malicioso poderá criar uma solicitação que causaria a negação do serviço por meio de uma falha do Envoy.

CVE-2023-27488: os invasores podem usar essa vulnerabilidade para ignorar as verificações de autenticação quando ext_authz é usado.

CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.

CVE-2023-27492: invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionar falhas.

CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço HTTP/1 upstream.

CVE-2023-27487: o cabeçalho x-envoy-original-path precisa ser interno, mas o Envoy não remove esse cabeçalho da solicitação no início do processamento da solicitação quando ele é enviado de um cliente não confiável.

Alta

GCP-2023-015

Data de publicação: 20/06/2023
Referência: CVE-2023-0468

GKE;

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

Os clusters do GKE que usam o GKE Sandbox não são afetados.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades estão sendo resolvidas?

Na CVE-2023-0468, foi encontrada uma falha de uso após a liberação em io_uring/poll.c, em io_poll_check_events, no subcomponente de io_uring do Kernel do Linux. Essa falha pode causar uma desreferência de ponteiro NULL e, possivelmente, uma falha do sistema que leva à negação de serviço.

Média

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE no VMware usa a versão 5.4 do kernel do Linux e não é afetado por essa CVE.

O que devo fazer?

  • Nenhuma ação é necessária.
Nenhuma

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE na AWS não é afetado por essa CVE.

O que devo fazer?

  • Nenhuma ação é necessária.
Nenhuma

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O GKE no Azure não é afetado por essa CVE.

O que devo fazer?

  • Nenhuma ação é necessária.
Nenhuma

GKE em Bare Metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-0468) foi descoberta na versão 5.15 do kernel do Linux que pode levar a uma negação de serviço no nó.

O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE.

O que devo fazer?

  • Nenhuma ação é necessária.
Nenhuma

GCP-2023-014

Publicação: 15/06/2023
Atualizado em: 11/08/2023
Referência: CVE-2023-2727, CVE-2023-2728

Atualização de 11/08/2023 : foram adicionadas versões de patch para GKE no VMware, GKE na AWS, GKE no Azure e GKE em bare metal

GKE;

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728).

O GKE não usa o ImagePolicyWebhook e não é afetado pela CVE-2023-2727.

Todas as versões do GKE são vulneráveis a CVE-2023-2728.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico.

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GKE no VMware

Atualizado em : 11/08/2023

Descrição Gravidade

Dois novos problemas de segurança foram descobertos no Kubernetes, em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728) O Anthos no VMware não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.

Todas as versões do Anthos no VMware são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:as seguintes versões do GKE no VMware foram atualizadas com um código para corrigir essa vulnerabilidade. Faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GKE na AWS

Atualizado em : 11/08/2023

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos na AWS não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.
Todas as versões do Anthos na AWS são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:a versão do GKE a seguir na AWS foi atualizada com o código para corrigir essa vulnerabilidade. Faça upgrade dos seus nós para a seguinte versão do GKE na AWS:

  • 1.15.2

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GKE no Azure

Atualizado em : 11/08/2023

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos on Azure não usa ImagePolicyWebhook e não é afetado pelo CVE-2023-2727.
Todas as versões do Anthos on Azure são vulneráveis a CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:a versão do GKE no Azure a seguir foi atualizada com um código para corrigir essa vulnerabilidade. Faça upgrade dos nós para a seguinte versão do GKE no Azure:

  • 1.15.2

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GKE em Bare Metal

Atualizado em : 11/08/2023

Descrição Gravidade

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições de política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728)
O Anthos em Bare Metal não usa ImagePolicyWebhook e não é afetado pela CVE-2023-2727.
Todas as versões do Anthos em Bare Metal são potencialmente vulneráveis à CVE-2023-2728.

O que devo fazer?

Atualização de 11/08/2023:as seguintes versões do Google Distributed Cloud Virtual para Bare Metal foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos seus nós para uma destas versões do Google Distributed Cloud Virtual para Bare Metal:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Quais vulnerabilidades estão sendo resolvidas?

Com a CVE-2023-2727, os usuários podem iniciar contêineres usando imagens restritas pelo ImagePolicyWebhook durante o uso de contêineres temporários. Os clusters do Kubernetes só serão afetados se o plug-in de admissão ImagePolicyWebhook for usado com contêineres efêmeros. Essa CVE também pode ser atenuada com o uso de webhooks de validação, como Gatekeeper e Kyverno, para aplicar as mesmas restrições.

Na CVE-2023-2728, os usuários podem iniciar contêineres que ignoram a política de chaves secretas montadas aplicadas pelo plug-in de admissão do ServiceAccount ao usar contêineres efêmeros. A política garante que os pods em execução com uma conta de serviço só possam fazer referência a chaves secretas especificadas no campo de chave secreta da conta de serviço. Os clusters serão afetados por essa vulnerabilidade se:

  • O plug-in de admissão ServiceAccount é usado.
  • A anotação kubernetes.io/enforce-mountable-secrets é usada por uma conta de serviço. Esta anotação não é adicionada por padrão.
  • Os pods estão usando contêineres efêmeros.
Média

GCP-2023-009

Data de publicação: 06/06/2023
Referência: CVE-2023-2878

GKE;

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE não é afetado por essa CVE.

O que devo fazer?

Embora o GKE não seja afetado, se você tiver instalado o componente secret-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhuma

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE no VMware não é afetado por essa CVE.

O que devo fazer?

Embora o GKE no VMware não seja afetado, se você instalou o componente secrets-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhuma

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE na AWS não é afetado por essa CVE.

O que devo fazer?

Embora o GKE na AWS não seja afetado, se você instalou o componente secrets-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhuma

GKE no Azure

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE no Azure não é afetado por essa CVE

O que devo fazer?

Embora o GKE no Azure não seja afetado, se você instalou o componente secrets-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhuma

GKE em Bare Metal

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem.

O GKE em Bare Metal não é afetado por essa CVE.

O que devo fazer?

Embora o GKE em Bare Metal não seja afetado, se você instalou o componente secrets-store-csi-driver, atualize a instalação com uma versão com patch.

Quais vulnerabilidades são corrigidas por esse patch?

A vulnerabilidade, CVE-2023-2878, foi descoberta no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Esses tokens podem ser trocados com provedores de nuvem externos para acessar chaves secretas armazenadas em soluções de nuvem. Os tokens só são registrados quando TokenRequests está configurado no objeto CSIDriver e o driver está configurado para ser executado em nível de registro 2 ou superior por meio da sinalização -v.

Nenhuma

GCP-2023-008

Data de publicação: 05/06/2023
Referência: CVE-2023-1872

GKE;

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. Os clusters do GKE Standard e do Autopilot são afetados.

Os clusters que usam o GKE Sandbox não são afetados.

O que devo fazer?

O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Alta

GKE no VMware

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que devo fazer?

Quais vulnerabilidades são corrigidas por esse patch?

A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

Alta

GKE na AWS

Descrição Gravidade

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

O que devo fazer?

O código das seguintes versões do GKE na AWS foi atualizado para corrigir essas vulnerabilidades:

  • 1.15.1
  • Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

    Alta

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

    O que devo fazer?

    O código das seguintes versões do GKE no Azure foi atualizado para corrigir essas vulnerabilidades:

  • 1.15.1
  • Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2023-1872 é uma vulnerabilidade de uso após a liberação no subsistema io_uring do kernel do Linux que pode ser explorada para alcançar o escalonamento de privilégios locais. A função io_file_get_fixed não tem a presença de ctx->uring_lock, o que pode levar a uma vulnerabilidade de uso após a liberação devido a uma disputa com arquivos fixos não registrados.

    Alta

    GKE em Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

    O GKE em Bare Metal não é afetado por essa CVE.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhuma

    GCP-2023-005

    Data de publicação: 18/05/2023
    Data de atualização: 06/06/2023
    Referência: CVE-2023-1281, CVE-2023-1829

    Atualização de 06/06/2023: novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829.

    GKE;

    Data de atualização: 06/06/2023

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. Os clusters do GKE Standard são afetados.

    Os clusters do GKE Autopilot e os clusters que usam o GKE Sandbox não são afetados.

    O que devo fazer?

    Atualização de 06/06/2023: versões de patch do Ubuntu estão disponíveis.

    As seguintes versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-1281 e CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos clusters e pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de controle de tráfego do Linux (tcindex), que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alta

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que devo fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alta

    GKE na AWS

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que devo fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alta

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O que devo fazer?

    Quais vulnerabilidades são corrigidas por esse patch?

    Tanto a CVE-2023-1281 quanto a CVE-2023-1829 são vulnerabilidades de uso livre no filtro de índice de tráfego de tráfego (tcindex) do Linux, que podem ser exploradas para alcançar o escalonamento de privilégios locais.

    Com a CVE-2023-1829, a função tcindex_delete não desativa corretamente os filtros em determinados casos, o que pode levar à liberação dupla de uma estrutura de dados.

    Na CVE-2023-1281, a área de hash imperfeita pode ser atualizada enquanto os pacotes estão em transferência, o que causa um uso após a liberação quando tcf_exts_exec() é chamado com o tcf_ext destruído. Um usuário de ataque local pode usar essa vulnerabilidade para elevar os privilégios dele à raiz.

    Alta

    GKE em Bare Metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

    O GKE em Bare Metal não é afetado por essa CVE.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhuma

    GCP-2023-003

    Publicação: 11/04/2023
    Atualizado em: 21/12/2023
    Referência: CVE-2023-0240, CVE-2023-23586

    Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

    GKE;

    Atualizado em : 21/12/2023

    Descrição Gravidade

    Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE, incluindo os clusters do Autopilot, com o COS usando o kernel do Linux versão 5.10 até 5.10.162 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados.

    O que devo fazer?

    As versões do GKE a seguir foram atualizadas com código para corrigir essas vulnerabilidades. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Vulnerabilidade 1 (CVE-2023-0240): uma disputa em io_uring pode levar a um detalhamento completo do contêiner na raiz do nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em io_uring/time_ns pode levar a um detalhamento completo do contêiner para a raiz no nó. As versões 5.10 do kernel do Linux são afetadas até 5.10.162.

    Alta

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Os clusters do GKE no VMware com COS que usam a versão 5.10 do kernel do Linux até 5.10.162 foram afetados. Os clusters do GKE Enterprise que usam imagens do Ubuntu não são afetados.

    O que devo fazer?

    As seguintes versões do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades:

    • 1.12.6
    • 1.13.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Vulnerabilidade 1 (CVE-2023-0240): uma disputa em io_uring pode levar a um detalhamento completo do contêiner na raiz do nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Vulnerabilidade 2 (CVE-2023-23586): um uso após o uso gratuito (UAF, na sigla em inglês) em io_uring/time_ns pode levar a um detalhamento completo do contêiner para a raiz no nó. As versões 5.10 do kernel do Linux foram afetadas até 5.10.162.

    Alta

    GKE na AWS

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE na AWS não é afetado por essas CVEs.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhuma

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE no Azure não é afetado por essas CVEs

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhuma

    GKE em Bare Metal

    Descrição Gravidade

    Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. O GKE em Bare Metal não é afetado por essas CVEs.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhuma

    GCP-2023-001

    Publicação: 01/03/2023
    Atualizado em: 21/12/2023
    Referência: CVE-2022-4696

    Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

    GKE;

    Descrição Gravidade

    Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que devo fazer?

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos seus clusters e pools de nós para uma das seguintes versões do GKE:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local.

    Alta

    GKE no VMware

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE no VMware que executa as versões 1.12 e v1.13 foi afetado. O GKE on VMware executando a v1.14 ou posterior não foi afetado.

    O que devo fazer?

    O código das seguintes versões do GKE na VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:

    • 1.12.5
    • 1.13.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-4696, foi encontrada uma falha de uso após a liberação em io_uring e ioring_op_splice no kernel do Linux. Essa falha permite que um usuário local crie um escalonamento de privilégios local.

    Alta

    GKE na AWS

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE na AWS não é afetado por essa vulnerabilidade.

    O que devo fazer?

    Nenhuma ação é necessária.

    Nenhuma

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE no Azure não é afetado por essa vulnerabilidade.

    O que devo fazer?

    Nenhuma ação é necessária.

    Nenhuma

    GKE em Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. O GKE em Bare Metal não é afetado por essa vulnerabilidade.

    O que devo fazer?

    Nenhuma ação é necessária.

    Nenhuma

    GCP-2022-026

    Publicado: 11-01-2023
    Referência: CVE-2022-3786, CVE-2022-3602

    GKE;

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha. Embora ela tenha sido avaliada como alta no banco de dados do NVD, os endpoints do GKE usam boringSSL ou uma versão mais antiga do OpenSSL que não é afetada. Portanto, a classificação foi reduzida a média para o GKE.

    O que fazer?

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3786 e a CVE-2022-3602, uma sobrecarga de buffer pode ser acionada na verificação de certificado X.509, o que pode causar uma falha que resultará em negação de serviço. Para ser explorada, essa vulnerabilidade exige que uma CA assine um certificado malicioso ou que um aplicativo continue a verificação do certificado, mesmo que não seja possível criar um caminho para um emissor confiável.

    Média

    GKE no VMware

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que devo fazer?

    O GKE no VMware não é afetado por essa CVE, porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Você não precisa fazer nada.

    Nenhuma

    GKE na AWS

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que devo fazer?

    O GKE na AWS não é afetado por essa CVE, porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Você não precisa fazer nada.

    Nenhuma

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que devo fazer?

    O GKE no Azure não é afetado por essa CVE, porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Você não precisa fazer nada.

    Nenhuma

    GKE em Bare Metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertas no OpenSSL v3.0.6 que podem causar uma falha.

    O que devo fazer?

    O GKE em Bare Metal não é afetado por essa CVE porque não usa uma versão afetada do OpenSSL.

    Quais vulnerabilidades são corrigidas por esse patch?

    Você não precisa fazer nada.

    Nenhuma

    GCP-2022-025

    Publicação: 21/12/2022
    Atualizado em: 19/01/2023, 21/12/2023
    Referência: CVE-2022-2602

    Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.

    GKE;

    Atualização: 19/01/2023

    Descrição Gravidade

    Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

    Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que devo fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos seus pools de nós para esta versão ou uma mais recente.


    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-optimized OS:
      • 1.22.16-gke.1300 e posterior
      • 1.23.14-gke.401 e posterior
      • 1.24.7-gke.900 e posterior
      • 1.25.4-gke.1600 e posterior
    • Ubuntu:
      • 1.22.15-gke.2500 e posterior
      • 1.23.13-gke.900 e posterior
      • 1.24.7-gke.900 e posterior
      • 1.25.3-gke.800 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alta

    GKE no VMware

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    As versões 1.11, 1.12 e 1.13 do GKE no VMware foram afetadas.

    O que devo fazer?

    Faça upgrade do cluster para uma versão com patch. As seguintes versões do GKE na VMware contêm códigos que corrigem essa vulnerabilidade:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alta

    GKE na AWS

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O que devo fazer?

    As versões de geração atual e anterior do GKE na AWS foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS:

    • Geração atual:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Geração anterior:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alta

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O que devo fazer?

    O código das seguintes versões do GKE no Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-2602, uma condição de corrida entre o processamento de solicitações io_uring e a coleta de lixo de soquete Unix pode causar uma vulnerabilidade de uso após a liberação. Um invasor local pode usar isso para acionar uma negação de serviço ou possivelmente executar um código arbitrário.

    Alta

    GKE em Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2602) foi descoberta no subsistema io_uring no kernel do Linux e pode permitir que um invasor execute um código arbitrário.

    O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhuma

    GCP-2022-024

    Publicado em: 09/11/2022
    Atualizado em: 19/01/2023
    ReferênciaCVE-2022-2585, CVE-2022-2588

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
    Atualização de 16/12/2022 : adicionamos versões de patch revisadas para o GKE e o GKE no VMware.

    GKE;

    Atualização: 19/01/2023

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados.

    Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que devo fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos seus pools de nós para esta versão ou uma mais recente.

    Atualização de 16/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.16-gke.1300 e posterior
    • 1.23.14-gke.401 e posterior
    • 1.24.7-gke.900 e posterior
    • 1.25.4-gke.1600 e posterior

    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    As atualizações do GKE v1.22, 1.23 e 1.25 serão disponibilizadas em breve. Este boletim de segurança será atualizado quando estiver disponível.

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    • Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.
    • Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.
    Alta

    GKE no VMware

    Atualizado: 16/12/2022

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As versões 1.13, 1.12 e 1.11 do GKE no VMware foram afetadas.

    O que devo fazer?

    Atualização de 16/12/2022: as seguintes versões do GKE no VMware foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Observação: as versões do GKE no VMware que contêm patches do Container-Optimized OS serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    • Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.
    • Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.
    Alta

    GKE na AWS

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As seguintes versões do Kubernetes na AWS podem ser afetadas:

    • 1.23: versões anteriores à 1.23.9-gke.800. As versões secundárias mais recentes não são afetadas.
    • 1.22: versões anteriores à 1.22.12-gke.1100. As versões secundárias mais recentes não são afetadas.

    O Kubernetes V1.24 não foi afetado.

    O que fazer?

    Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Kubernetes da AWS:

    • 1.23: uma versão posterior à v1.23.9-gke.800
    • 1.22: uma versão posterior a 1.22.12-gke-1100

    Quais vulnerabilidades estão sendo resolvidas?

    Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.

    Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

    Alta

    GKE no Azure

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    As seguintes versões do Kubernetes no Azure podem ser afetadas:

    • 1.23: versões anteriores à 1.23.9-gke.800. As versões secundárias mais recentes não são afetadas.
    • 1.22: versões anteriores à 1.22.12-gke.1100. As versões secundárias mais recentes não são afetadas.

    O Kubernetes V1.24 não foi afetado.

    O que devo fazer?

    Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do Azure Kubernetes:

    • 1.23: uma versão posterior à v1.23.9-gke.800
    • 1.22: uma versão posterior a 1.22.12-gke-1100

    Quais vulnerabilidades estão sendo resolvidas?

    Com a CVE-2022-2585, a limpeza inadequada dos timers no temporizador de CPU posix permite uma exploração de uso após a liberação, dependendo de como os temporizadores são criados e excluídos.

    Na CVE-2022-2588, encontramos uma falha de uso após a liberação em route4_change no kernel do Linux. Essa falha permite que um usuário local cause uma falha no sistema e possivelmente leve a um escalonamento de privilégios local.

    Alta

    GKE em Bare Metal

    Descrição Gravidade

    Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

    O GKE em Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição.

    O que devo fazer?

    Você não precisa fazer nada.

    Nenhum

    GCP-2022-023

    Data de publicação: 04-11-2022
    Referência: CVE-2022-39278

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Anthos Service Mesh, o que permite que um invasor ataque o plano de controle.

    O que devo fazer?

    O Google Kubernetes Engine (GKE) não é enviado com o Istio e não é afetado por essa vulnerabilidade. No entanto, se você instalou separadamente o Anthos Service Mesh ou o Istio no cluster do GKE, consulte GCP-2022-020, o boletim de segurança do Anthos Service Mesh nesta CVE. para mais informações.

    Nenhuma

    GKE no VMware

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Anthos Service Mesh no GKE no VMware, que permite que um invasor mal-intencionado cause uma falha no plano de controle do Istio.

    O que devo fazer?

    O código das seguintes versões do GKE na VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para uma das seguintes versões do GKE no VMware:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio istiod está vulnerável a um erro de processamento de solicitação. Ele permite que um invasor envie uma mensagem especialmente criada, o que resulta em falha no plano de controle quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não requer autenticação do invasor.

    Alta

    GKE na AWS

    Descrição Gravidade

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Anthos Service Mesh, o que permite que um invasor ataque o plano de controle.

    O que devo fazer?

    O GKE na AWS não foi afetado por essa vulnerabilidade, e você não precisa fazer nada.

    Nenhuma

    GKE no Azure

    Descrição Gravidade

    Foi descoberta uma vulnerabilidade de segurança, CVE-2022-39278, no Istio. Ela é usada no Anthos Service Mesh, o que permite que um invasor ataque o plano de controle.

    O que devo fazer?

    O GKE no Azure não é afetado por essa vulnerabilidade, e nenhuma ação é necessária.

    Nenhuma

    GKE em Bare Metal

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usada no Anthos Service Mesh em GKE em Bare Metal, permitindo que um invasor mal-intencionado cause uma falha no plano de controle do Istio.

    O que devo fazer?

    As seguintes versões do GKE em Bare Metal foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters para uma das seguintes versões do GKE em Bare Metal:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a vulnerabilidade CVE-2022-39278, o plano de controle do Istio istiod está vulnerável a um erro de processamento de solicitação. Ele permite que um invasor envie uma mensagem especialmente criada, o que resulta em falha no plano de controle quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não requer autenticação do invasor.

    Alta

    GCP-2022-022-updated

    Data de publicação: 18/12/2022
    Referência: CVE-2022-20409

    GKE;

    Atualizado: 14/12/2022

    Descrição Gravidade

    Uma nova vulnerabilidade CVE-2022-20409, foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Os clusters do Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, incluindo clusters do Autopilot, que usam o Container-Optimized OS versões 93 e 97 são afetados. Outras versões compatíveis do GKE não são afetadas. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que devo fazer?

    Atualização de 14/12/2022: uma versão anterior do boletim foi revisada devido a uma regressão de lançamento. Faça upgrade manual dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.15-gke.2500 e posterior
    • 1.23.13-gke.900 e posterior
    • 1.24.7-gke.900 e posterior

    O código das versões a seguir do GKE que usam o Container-Optimized OS 93 e 97 foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.15-gke.2300 e posterior
    • 1.23.13-gke.700 e posterior
    • 1.24.7-gke.700 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Alta

    GKE no VMware

    Atualizado: 14/12/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais.

    O que devo fazer?

    Atualização de 14/12/2022: as seguintes versões do GKE no VMware para Ubuntu foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na VMware:

    • 1.13.1 ou superior
    • 1.12.3 ou superior
    • 1.11.4 e posterior

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Alta

    GKE na AWS

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema.

    O que fazer?

    Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Nenhuma

    GKE no Azure

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade, a CVE-2022-20409, no kernel do Linux que poderia permitir que um usuário sem privilégios encaminhe para o privilégio de execução do sistema.

    O que fazer?

    Nenhuma ação é necessária. O GKE no Azure não usa as versões afetadas do kernel do Linux.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-20409, o kernel do Linux tem uma vulnerabilidade em io_identity_cow do subsistema io_urs. Existe um potencial de corrupção de memória devido a uma vulnerabilidade de Use-After-Free (UAF, na sigla em inglês). Um invasor local pode usar essa corrupção de memória para negação de serviço (falha do sistema) ou possivelmente executar código arbitrário.

    Nenhuma

    GKE em Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-20409) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais.

    O que fazer?

    • Nenhuma ação é necessária. O GKE em Bare Metal não é afetado por essa CVE, porque não agrupa um sistema operacional na distribuição.
    Nenhuma

    GCP-2022-021

    Publicação: 27/10/2022
    Atualizado em: 19/01/2023, 21/12/2023
    Referência: CVE-2022-3176

    Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 do GKE está disponível.
    Atualização de 15/12/2022: informações atualizadas de que a versão 1.21.14-gke.9400 do Google Kubernetes Engine está com lançamento pendente e pode ser substituída por um número de versão mais recente.
    Atualização de 21/11/2022 : adicionamos versões de patch para GKE no VMware, GKE na AWS e GKE no Azure.

    GKE;

    Atualizado em : 19/01/2023, 21/12/2023

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Os clusters do Google Kubernetes Engine (GKE) v1.21, incluindo clusters do Autopilot, que usam o Container-Optimized OS versão 89 são afetados. As versões posteriores do GKE não são afetadas. Todos os clusters do Linux com Ubuntu são afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

    O que devo fazer?

    Atualização de 19/01/2023: a versão 1.21.14-gke.14100 está disponível. Faça upgrade dos seus pools de nós para esta versão ou uma mais recente.

    Atualização de 15/12/2022:a versão 1.21.14-gke.9400 está com lançamento pendente e pode ser substituída por um número de versão mais recente. Este documento vai ser atualizado quando a nova versão for disponibilizada.


    O código das seguintes versões do GKE foi atualizado para corrigir essa vulnerabilidade em uma versão futura. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-optimized OS:
      • 1.21.14-gke.7100 e posterior
    • Ubuntu:
      • 1.21.14-gke.9400 e posterior
      • 1.22.15-gke.2400 e posterior
      • 1.23.13-gke.800 e posterior
      • 1.24.7-gke.800 e posterior
      • 1.25.3-gke.700 e posterior

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Esse recurso permite que você proteja os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alta

    GKE no VMware

    Atualização em: 21/11/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    • As versões do GKE no VMware com o Container-Optimized OS não são afetadas.

    Atualização de 21/11/2022:as seguintes versões do GKE no VMware para Ubuntu foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no VMware:

    • 1.12.3 ou superior
    • 1.13.1 ou superior
    • 1.11.5 ou superior

    As versões do GKE no VMware que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alta

    GKE na AWS

    Atualização em: 21/11/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Atualização de 21/11/2022 : as versões de geração atual e anterior do GKE na AWS a seguir foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS:

    Geração atual
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Geração anterior
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    As versões do GKE na AWS que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alta

    GKE no Azure

    Atualização em: 21/11/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Atualização de 21/11/2022 : as seguintes versões do GKE no Azure foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    As versões do GKE no Azure que contêm patches do Ubuntu serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-3176, o kernel do Linux tem uma vulnerabilidade no subsistema io_uring. O não processamento de POLLFREE pode levar a explorações Use-After-Free (UAF) que podem ser usadas para escalonamento de privilégios.

    Alta

    GKE em Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Você não precisa fazer nada. O GKE em Bare Metal não é afetado por essa CVE, porque não agrupa um sistema operacional na distribuição.

    Nenhuma

    GCP-2022-018

    Publicação: 01/08/2022
    Atualizado em: 14/09/2022, 21/12/2023
    Referência: CVE-2022-2327

    Atualização de 21/12/2023 : esclareça que os clusters do Autopilot do GKE na configuração padrão não vão ser afetados.

    Atualização de 14/09/2022 : adicionamos versões de patch para o GKE no VMware, no GKE na AWS e no GKE no Azure.

    GKE;

    Atualizado em : 21/12/2023

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Detalhes técnicos

    Atualização de 21/12/2023: o boletim original declarava que os clusters do Autopilot foram afetados, mas isso estava incorreto. Os clusters do Autopilot do GKE na configuração padrão não são afetados, mas podem ficar vulneráveis se você definir explicitamente o perfil seccomp Unconfined ou permitir CAP_NET_ADMIN.

    Os clusters do GKE, incluindo os clusters do Autopilot, com o Container-Optimized OS (COS) que usam a versão do kernel do Linux 5.10 são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados.

    O que fazer?

    Faça upgrade dos clusters do GKE para uma versão que inclui a correção. As imagens de nó do Linux para COS foram atualizadas com as versões do GKE que usam as versões do COS.

    Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, recomendamos que você faça upgrade manualmente dos seus pools de nós para uma das seguintes versões do GKE:

    Versões do COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Um recurso recente dos canais de lançamentos permite que você aplique um patch sem precisar cancelar a inscrição de um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.
    Alta

    GKE no VMware

    Atualizado em: 14/09/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    Clusters com uma imagem do Container Optimized OS (COS) que usam o GKE no VMware versões 1.10, 1.11 e 1.12 são afetados.

    O que devo fazer?

    Atualização de 14/09/2022: as versões a seguir do GKE no VMware contêm o código que corrige essa vulnerabilidade.

    • 1.10.6 ou mais recente
    • 1.11.3 ou mais recente
    • 1.12.1 ou mais recente

    As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alta

    GKE na AWS

    Atualizado em: 14/09/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Atualização de 14/09/2022: as versões de geração atual e anterior do GKE na AWS a seguir foram atualizadas com o código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS:

    Current generation

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Geração anterior

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alta

    GKE no Azure

    Atualizado em: 14/09/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Atualização de 14/09/2022: as seguintes versões do GKE no Azure foram atualizadas com um código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com a CVE-2022-2327, o kernel do Linux na versão 5.10 tem uma vulnerabilidade no subsistema io_uring em que várias solicitações estão sem tipos de item (flags). Usar essas solicitações sem os tipos de item adequados especificados pode causar o escalonamento de privilégios com acesso root.

    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

    O que devo fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE, porque não agrupa um sistema operacional na distribuição dele.

    Nenhuma

    GCP-2022-017

    Publicação: 29/06/2022
    Atualizado em: 22/11/2022
    Referência: CVE-2022-1786
    Atualização de 22/11/2022: informações atualizadas sobre cargas de trabalho usando o GKE Sandbox.
    Atualização de 21/07/2022 : informações atualizadas sobre as imagens do GKE no VMware COS afetadas.

    GKE;

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades.


    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Apenas os clusters que executam o Container-Optimized OS são afetados. As versões do GKE Ubuntu usam a versão 5.4 ou 5.15 do kernel e não são afetadas.

    O que devo fazer?

    O código das versões do nó Linux para o Container-Optimized OS das seguintes versões do GKE foi atualizado com o objetivo de corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que o upgrade automático de nós esteja ativado, é recomendável fazer upgrade manual dos seus pools de nós para uma das seguintes versões do GKE a seguir:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Um recurso recente de canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição em um canal. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Na CVE-2022-1786, foi encontrada uma falha após o uso sem custo financeiro no subsistema io_bing do kernel do Linux. Se um usuário configurar um anel com IORING_SETUP_IOPOLL com mais de uma tarefa que conclui envios no anel, um usuário local poderá falhar ou escalonar os privilégios no sistema.

    Alta

    GKE no VMware

    Atualizado em: 14/07/2022

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que devo fazer?

    Atualização de 21/07/2022:as versões a seguir do GKE no VMware contêm o código que corrige essa vulnerabilidade.

    COS
    • 1.10.5 ou mais recente
    • 1.11.2 ou mais recente
    • 1.12.0 ou mais recente

    Ubuntu

    Nenhuma ação é necessária. O GKE no VMware não usa as versões afetadas do kernel do Linux.

    Nenhuma

    GKE na AWS

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que devo fazer?

    Nenhuma ação é necessária. O GKE na AWS não usa as versões afetadas do kernel do Linux.

    Nenhuma

    GKE no Azure

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que devo fazer?

    Nenhuma ação é necessária. O GKE no Azure não usa as versões afetadas do kernel do Linux.

    Nenhuma

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que devo fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE porque não agrupa um sistema operacional na distribuição dele.

    Nenhuma

    GCP-2022-016

    Publicação: 23/06/2022
    Atualizado em: 22/11/2022
    Referência: CVE-2022-29581, CVE-2022-29582 e CVE-2022-1116
    Atualização de 22/11/2022: informações adicionadas sobre as cargas de trabalho em execução nos clusters do Autopilot.
    Atualização de 29/07/2022 : versões atualizadas para GKE no VMware, GKE na AWS e GKE no Azure.

    GKE;

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: os clusters do Autopilot não são afetados pela CVE-2022-29581, mas são vulneráveis à CVE-2022-29582 e CVE-2022-1116.


    Atualização de 29/07/2022: os pods que usam o GKE Sandbox não são suscetíveis a essas vulnerabilidades.


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Todos os clusters do Linux (Container-Optimized OS e Ubuntu) são afetados.

    O que devo fazer?

    As versões das imagens de nó do Linux para o Container-Optimized OS e o Ubuntu das seguintes versões do GKE foi atualizado com o código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite fazer upgrade dos nós para a versão com patch antes que ela se torne o padrão no canal de lançamento selecionado.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alta

    GKE no VMware

    Atualização: 29/07/2022

    Descrição Gravidade

    Atualização de 29/07/2022:as versões a seguir do GKE no VMware contêm códigos que corrigem essas vulnerabilidades.

    • 1.9.7 ou mais recente
    • 1.10.5 ou mais recente
    • 1.11.2 ou mais recente
    • 1.12.0 ou mais recente


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam o GKE no VMware v1.9 e posterior para imagens do Ubuntu e do Container-Optimized OS.

    O que devo fazer?

    As versões do GKE no VMware que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no VMware estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alta

    GKE na AWS

    Atualização: 29/07/2022

    Descrição Gravidade

    Atualização de 29/07/2022:Atualização: as versões de geração atual e anterior do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS:

    Geração atual:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Geração anterior:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE na AWS.

    O que devo fazer?

    As versões do GKE na AWS que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE na AWS estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alta

    GKE no Azure

    Descrição Gravidade

    Atualização de 29/07/2022: Atualização: as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Essas vulnerabilidades afetam todas as versões do GKE no Azure.

    O que devo fazer?

    As versões do GKE no Azure que contêm patches serão lançadas em breve. Este boletim de segurança será atualizado quando as versões do GKE no Azure estiverem disponíveis para download.

    Quais vulnerabilidades são corrigidas por esse patch?

    Com o CVE-2022-29582, o kernel do Linux em versões anteriores à 5.17.3 tem um uso após o uso gratuito devido a uma disputa nos tempos limite de io_uring.

    A CVE-2022-29581 e a CVE-2022-1116 são vulnerabilidades em que um invasor local pode causar corrupção de memória no io_ving ou net/sched no kernel do Linux para escalonar privilégios para a raiz.

    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Foram detectadas três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) no kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó.

    O que devo fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa vulnerabilidade porque não agrupa um sistema operacional na distribuição.

    Nenhuma

    GCP-2022-014

    Publicado: 26/04/2022
    Atualização: 22/11/2022
    Atualização de 22/11/2022: informações sobre cargas de trabalho em execução nos clusters do Autopilot adicionadas.
    Atualização de 12/05/2022: versões atualizadas de patch para o GKE na AWS e GKE no Azure.
    Referência: CVE-2022-1055, CVE-2022-27666

    GKE;

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: os clusters e as cargas de trabalho do Autopilot do GKE em execução no GKE Sandbox não são afetados por essas vulnerabilidades.


    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que devo fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE:

    • 1.19.16-gke.11000 e mais recente
    • 1.20.15-gke.5200 e mais recente
    • 1.21.11-gke.1100 e mais recente
    • 1.22.8-gke.200 e mais recente
    • 1.23.5-gke.1500 e mais recente

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    GKE no VMware

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que devo fazer?

    Faça upgrade do cluster para uma versão com patch. As seguintes versões do GKE no VMware ou mais recentes contêm a correção dessa vulnerabilidade:

    • 1.9.6 (em breve)
    • 1.10.3
    • 1.11.0 (em breve)

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    GKE na AWS

    Atualizado em: 12/05/2022

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que devo fazer?

    Atualização de 12/05/2022: as seguintes versões atuais e anteriores do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS:

    Geração atual
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Geração anterior
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    GKE no Azure

    Atualizado em: 12/05/2022

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que devo fazer?

    Atualização de 12/05/2022: as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no Azure:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Faça upgrade do cluster para uma versão com patch. Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu).

    Detalhes técnicos

    Na CVE-2022-1055, um invasor pode explorar o uso pós-gratuito em tc_new_tfilter(), que permite que um invasor local no contêiner encaminhe privilégios para uma raiz no nó.

    Na CVE-2022-27666, o buffer overflow em esp/esp6_output_head permite que um invasor local no contêiner encaminhe os privilégios para a raiz do nó.

    O que devo fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE, porque não inclui o Linux como parte do pacote. Verifique se as imagens de nó usadas estão atualizadas para as versões que contêm a correção para CVE-2022-1055 e CVE-2022-27666.

    Quais vulnerabilidades são corrigidas por esse patch?

    Alta

    GCP-2022-013

    Publicação: 11/04/2022
    Atualizado em: 20/04/2022
    Referência: CVE-2022-23648
    Atualização de 22/04/2022: versões atualizadas do patch do Google Distributed Cloud Virtual para Bare Metal e GKE no VMware.

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu) que usam o container por padrão. Todos os nós do GKE, Autopilot e GKE Sandbox foram afetados.

    O que devo fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manual dos seus nós para uma das seguintes versões do GKE:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Um recurso recente dos canais de lançamento permite que você aplique um patch sem precisar cancelar a inscrição. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal de lançamento específico.

    Média

    GKE no VMware

    Atualização: 22-04-2022

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todo o GKE no VMware com o Stackdriver ativado, que usa o containerd. As versões 1.8, 1.9 e 1.10 do GKE no VMware foram afetadas

    O que devo fazer?

    Atualização de 22/04/2022 : as versões a seguir do GKE no VMware contêm o código que corrige essa vulnerabilidade.

    • 1.9.5 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    O código das seguintes versões do GKE no VMware foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE no VMware:

    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    GKE na AWS

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todas as versões do GKE na AWS foram afetadas.

    O que devo fazer?

    O código das seguintes versões do GKE na AWS foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma das seguintes versões do GKE na AWS.

    GKE na AWS (geração atual)
    • Versão 1.22: 1.22.8-gke.200
    • Versão 1.21: 1.21.11-gke.100
    GKE na AWS (geração anterior)
    • Versão 1.22: 1.22.8-gke.300
    • Versão 1.21: 1.21.11-gke.100
    • Versão 1.20: 1.20.15-gke.2200

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    GKE no Azure

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Todas as versões do GKE no Azure foram afetadas.

    O que devo fazer?

    O código das seguintes versões do GKE no Azure foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça o upgrade dos nós da seguinte maneira:

    • Versão 1.22: 1.22.8-gke.200
    • Versão 1.21: 1.21.11-gke.100

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Atualização: 22-04-2022

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host.

    Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Essa vulnerabilidade afeta todo o Google Distributed Cloud Virtual para Bare Metal que usa containerd. As versões 1.8, 1.9 e 1.10 do Google Distributed Cloud Virtual para Bare Metal foram afetadas

    O que devo fazer?

    Atualização de 22/04/2022 : as versões a seguir do Google Distributed Cloud Virtual para Bare Metal contêm um código que corrige essa vulnerabilidade.

    • 1.8.9 ou mais recente
    • 1.9.6 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    O código das seguintes versões do Google Distributed Cloud Virtual para Bare Metal foi atualizado para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos seus nós para uma destas versões do Google Distributed Cloud Virtual para Bare Metal:

    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente

    Essa CVE pode ser reduzida com a configuração de IgnoreImageDefinedVolumes como "true".

    Média

    GCP-2022-012

    Publicação: 2022-04-07
    Atualizado em: 2022-11-22
    Referência: CVE-2022-0847
    Atualização de 2022-11-22: informações atualizadas sobre cargas de trabalho que usam o sandbox do GKE.

    GKE;

    Atualização em: 22/11/2022

    Descrição Gravidade

    Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades.


    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta na versão 5.8 e posterior do kernel do Linux. É possível escalonar privilégios de contêiner na raiz. Essa vulnerabilidade afeta todas as versões do pool de nós do GKE v1.22 e posteriores que usam imagens do Container-Optimized OS (Container-Optimized OS 93 e versões mais recentes). Os pools de nós do GKE que usam o SO Ubuntu não são afetados.

    O que devo fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Por motivos de segurança, mesmo que você tenha ativado o upgrade automático de nós, recomendamos que faça upgrade manualmente dos pools de nós para uma das seguintes versões do GKE:

    • 1.22.7-gke.1500 e mais recente
    • 1.23.4-gke.1600 e mais recente

    Um recurso recente dos canais de lançamento permite que você aplique uma versão de patch de outros canais de lançamento sem ter que cancelar a inscrição em um canal. Isso permite proteger os nós até que a nova versão se torne o padrão para o canal específico da versão.

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas do pool de nós do GKE.

    Alta

    GKE no VMware

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta o GKE no VMware v1.10 para imagens do Container-Optimized OS. Atualmente, o GKE no VMware com Ubuntu está na versão do kernel 5.4 e não é vulnerável a esse ataque.

    O que devo fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de administrador e usuário para a seguinte versão do GKE no VMware:

    • 1.10.3

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Novas versões do Container-Optimized OS que corrigem esse problema foram integradas às versões atualizadas do GKE no VMware.

    Alta

    GKE na AWS

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz.

    Essa vulnerabilidade afeta os clusters gerenciados do GKE na AWS v1.21 e os clusters em execução no GKE na AWS (geração anterior) v1.19, v1.20, v1.21, que usam Ubuntu.

    O que devo fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade.

    Para o GKE gerenciado na AWS, recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para uma das seguintes versões:

    • 1.21.11-gke.100

    Para o GKE K-lite na AWS, recomendamos que você faça upgrade dos objetos AWSManagementService, AWSCluster e AWSNodePool para a seguinte versão:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Alta

    GKE no Azure

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz. Essa vulnerabilidade afeta clusters gerenciados do GKE no Azure v1.21 que usam Ubuntu.

    O que devo fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade dos clusters de usuário e do pool de nós para a seguinte versão:

    • 1.21.11-gke.100

    Quais vulnerabilidades são corrigidas por esse patch?

    A CVE-2022-0847 está relacionada à sinalização PIPE_BUF_FLAG_CAN_MERGE, introduzida na versão 5.8 do kernel do Linux. Nessa vulnerabilidade, o membro "sinalizações" da nova estrutura de buffer de canal não tinha a inicialização adequada no kernel do Linux. Um invasor local sem privilégios pode usar essa falha para gravar páginas no cache de páginas apoiadas por arquivos somente leitura e escalonar os privilégios.

    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta no kernel Linux 5.8 e posterior. Ela pode escalonar privilégios para a raiz.

    O que devo fazer?

    Nenhuma ação é necessária. O Google Distributed Cloud Virtual for Bare Metal não é afetado por essa CVE, porque não inclui o Linux como parte do pacote. É preciso garantir que as imagens de nó usadas sejam atualizadas para versões que contêm a correção para CVE-2022-0847.

    Alta

    GCP-2022-011

    Publicação: 22/03/2022
    Atualizado em: 11/08/2022

    Atualização de 11/08/2022 : adicionamos mais detalhes sobre os efeitos da configuração incorreta da SMT.

    GKE;

    Descrição Gravidade

    Atualização de 11/08/2022: mais informações foram adicionadas sobre a configuração de várias linhas de execução simultâneas (SMT, na sigla em inglês). O objetivo da SMT era ser desativado, mas ativado nas versões listadas.

    Se você ativou a SMT manualmente para um pool de nós no modo sandbox, a SMT permanecerá ativada manualmente, apesar desse problema.


    Há uma configuração incorreta com várias linhas de execução simultâneas (SMT, na sigla em inglês), também conhecida como Hyper-threading, nas imagens do GKE Sandbox. A configuração incorreta deixa os nós potencialmente expostos a ataques de canal lateral, como amostragem de dados de microarquitetura (MDS, na sigla em inglês). Para mais contexto, consulte a documentação do GKE Sandbox. Não recomendamos o uso das seguintes versões afetadas:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Se você tiver ativado manualmente a SMT para um pool de nós, esse problema não afetará seus nós no modo sandbox.

    O que devo fazer?

    Atualize os nós para uma das seguintes versões:

    • 1.22.6-gke.1500 e mais recente
    • 1.23.3-gke.1100 e mais recente

    Qual vulnerabilidade é corrigida por esse patch?

    Os nós do GKE Sandbox têm a SMT desativada por padrão, reduzindo ataques de canal lateral.

    Média

    GCP-2022-009

    Publicação: 01/03/2022
    Atualizado em: 15/03/2022

    GKE;

    Descrição Gravidade

    Atualização de 15/03/2022: foram adicionados guias de proteção para o GKE na AWS e para o GKE no Azure. Adição de uma seção sobre persistência usando webhooks.


    Alguns caminhos inesperados para acessar a VM do nó em clusters do Autopilot GKE podem ter sido usados para escalonar privilégios no cluster. Esses problemas foram corrigidos e nenhuma outra ação é necessária. As correções resolvem problemas reportados pelo nosso Programa de recompensa para descobertas de vulnerabilidades.

    Os usuários dos clusters do GKE Standard e do GKE podem aplicar uma política de aumento da proteção semelhante, conforme descrito abaixo.

    Detalhes técnicos

    Acesso ao host usando isenções de política de terceiros

    Para permitir que o Google Cloud ofereça gerenciamento completo de nós e um SLA no nível do pod, o Autopilot do GKE restringe alguns primitivos do Kubernetes altamente privilegiados para impedir que as cargas de trabalho tenham acesso de baixo nível à VM do nó. Para isso: o GKE Standard apresenta acesso total à computação subjacente, o Autopilot tem acesso limitado e o Cloud Run não tem acesso.

    O Autopilot flexibiliza algumas dessas restrições em uma lista predefinida de ferramentas de terceiros para permitir que os clientes executem essas ferramentas no Autopilot sem modificações. Com os privilégios para criar pods com ativações de caminho de host, o pesquisador conseguiu executar um contêiner privilegiado em um pod parecido com uma dessas ferramentas de terceiros autorizadas para ter acesso ao host.

    A capacidade de programar pods dessa maneira é esperada no GKE Standard, mas não no Autopilot do GKE, já que isso ignora as restrições de acesso ao host usadas para ativar o SLA descrito anteriormente.

    Esse problema foi corrigido ao reforçar a especificação de pod da lista de permissões de terceiros.

    Escalonamento de privilégios a partir da raiz no nó

    Além do acesso ao host, os pods stackdriver-metadata-agent-cluster-level e metrics-server foram identificados como altamente privilegiados. Depois de ter acesso ao nível raiz do nó, esses serviços podem ser usados para ter mais controle sobre o cluster.

    Suspendemos o uso e removemos o stackdriver-metadata-agent para o GKE Standard e o Autopilot. Esse componente ainda está em uso no GKE on VMware e no Google Distributed Cloud Virtual para Bare Metal.

    Como uma medida de aumento da proteção do sistema para evitar esse tipo de ataque no futuro, aplicaremos uma restrição do Autopilot a uma versão futura que impedirá atualizações na conta de serviço de vários objetos no namespace kube-system. Desenvolvemos uma política de guardião para você aplicar uma proteção semelhante aos clusters do GKE Standard e aos clusters do GKE para evitar a automodificação das cargas de trabalho privilegiadas. Esta política é aplicada automaticamente a clusters Autopilot. Para receber instruções, consulte os seguintes guias de proteção:


    Adição de 15/03/2022: persistência com o uso de webhooks mutáveis

    Os webhooks mutáveis foram usados no relatório para estabelecer uma posição privilegiada no pós-compromisso do cluster. Essas são partes padrão da API Kubernetes criadas pelos administradores do cluster e ficaram visíveis para os administradores quando o Autopilot adicionou suporte para webhooks definidos pelo cliente.


    Contas de serviço privilegiadas no namespace padrão

    Os implementadores de políticas do Autopilot permitiam duas contas de serviço no namespace padrão: csi-attacher e otelsvc para conceder privilégios especiais às contas de serviço. Um invasor com privilégios elevados, incluindo permissões para criar objetos ClusterRoleBinding e com acesso para criar pods no namespace padrão, pode usar esses nomes de conta de serviço para acessar esses privilégios adicionais. Esses serviços foram movidos para o namespace kube-system a fim de proteger a política existente do Autopilot. Os clusters GKE Standard e os clusters do GKE não são afetados.

    O que devo fazer?

    As políticas de todos os clusters do GKE Autopilot foram atualizadas para remover o acesso não intencional ao host, e nenhuma outra ação será necessária.

    Outras proteções de políticas serão aplicadas ao Autopilot nas próximas semanas como uma proteção secundária. Nenhuma ação é necessária.

    Os clusters GKE Standard e os clusters do GKE não são afetados porque os usuários já têm acesso ao host. Como uma medida de fortalecimento do sistema, os clusters do GKE Standard e os usuários de clusters do GKE podem aplicar uma proteção semelhante com uma política de Gatekeeper que impede a automodificação de cargas de trabalho privilegiadas. Para receber instruções, consulte os seguintes guias de proteção:

    Baixa

    GCP-2022-008

    Publicada em: 23/02/2022
    Atualização: 28/04/2022
    Referência: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE;

    Descrição Gravidade
    projeto Envoy descobriu recentemente um conjunto de vulnerabilidades, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, and CVE-2022-21656 que podem afetar os clusters do GKE que usam Anthos Service Mesh, Istio-on-GKE ou implementações Istio personalizadas.
    Todos os problemas listados abaixo foram corrigidos na versão 1.21.1 do Envoy.
    Informações técnicas
    Veja mais detalhes sobre essas vulnerabilidades neste link.

    O que devo fazer?

    Os clusters do GKE que executam o Anthos Service Mesh precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
    • Se você estiver usando o Anthos Service Mesh 1.12, faça upgrade para a v1.12.4-asm.0. .
    • Se você estiver usando o Anthos Service Mesh 1.11, faça upgrade para a v1.11.7-asm.1.
    • Se você estiver usando o Anthos Service Mesh 1.10, faça upgrade para a v1.10.6-asm.1.
    Se você estiver usando o Anthos Service Mesh v1.9 ou versões anteriores, a versão atingiu o fim da vida útil e não terá mais suporte. Essas correções de CVE não foram compatíveis com outras versões. É necessário fazer upgrade para o ASM 1.10 ou superior.

    Os clusters do GKE que executam o Istio-on-GKE precisam fazer upgrade para uma versão compatível com a correção das vulnerabilidades acima.
    • Se você estiver usando o Istio-on-GKE 1.6, faça upgrade para a v1.6.14-gke.8.
    • Se você estiver usando o Istio-on-GKE 1.4.11, faça upgrade para a v1.4.11-gke.4.
    • Se você estiver usando o Istio-on-GKE 1.4.10, faça upgrade para a v1.4.10-gke.23.
    • Se você estiver usando o GKE 1.22 ou posterior, use o Istio GKE 1.4.10. Caso contrário, use o Istio-on-GKE 1.4.11.

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alta

    GKE no VMware

    Atualização: 28-04-2022

    Descrição Gravidade
    Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O GKE no VMware é afetado porque o Envoy é usado com o Metrics-server. As CVEs do Envoy que estamos corrigindo estão listadas abaixo. Este boletim vai ser atualizado com versões específicas quando elas estiverem disponíveis:
    • CVE-2021-43824 (pontuação do CVSS de 6.5, média): possível referência de ponteiro nulo ao usar a correspondência do filtro safe_regex do JWT.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar o regex de filtro JWT.
    • CVE-2021-43825 (pontuação do CVSS de 6,1, média): use após a saída quando os filtros de resposta aumentarem os dados de resposta e os dados maiores excederem os limites de buffer downstream.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de descompactação.
    • CVE-2021-43826 (pontuação do CVSS de 6,1, média): use após a troca quando estabelecer um tunelamento de TCP sobre HTTP, se o downstream desconectado durante o estabelecimento upstream de conexões.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de túnel.
    • CVE-2022-21654 (pontuação do CVSS de 7,3, alta): o gerenciamento incorreto de configurações permite a reutilização da sessão de mTLS sem revalidação depois que as configurações de validação são alteradas.
      Observação: todos os serviços de ASM/Istio-on-GKE que usam mTLS são afetados por essa CVE.
    • CVE-2022-21655 (pontuação do CVSS de 7.5, alta): processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar um filtro de resposta direta.
    • CVE-2022-23606 (pontuação do CVSS de 4.4, média): esgotamento da pilha quando um cluster é excluído pelo serviço de descoberta de clusters.
      Observação: o ASM 1.11+ é afetado por esta CVE. O ASM 1.10 e todo o Istio-on-GKE não foram afetados por esta CVE.
    • CVE-2022-21657 (pontuação do CVSS de 3,1: baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade de exploração remota devido ao erro uso de chave estendido X.509 e desvio de finalidades de confiança.
    • CVE-2022-21656 (pontuação do CVSS de 3,1, baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade que pode ser explorada remotamente devido ao desvio de correspondência do X.509 subjectAltName (e nameConstraints).

    O Istio lançou recentemente uma correção de vulnerabilidade de segurança. O Anthos no VMware foi afetado porque o Istio é usado para entrada. As CVEs do Istio que estamos corrigindo estão listadas abaixo. Este boletim vai ser atualizado com versões específicas quando elas estiverem disponíveis.

    CVE-2022-23635 (pontuação do CVSS de 7.5, alta): o Istiod falha ao receber solicitações com um cabeçalho "authorization" especialmente criado.


    Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança.

    Adição de 28-04-2022: o que devo fazer?

    As seguintes versões do GKE no VMware corrigem essas vulnerabilidades:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alta

    Google Cloud Distributed Cloud Virtual para Bare Metal

    Descrição Gravidade
    Recentemente, o Envoy lançou várias correções de vulnerabilidades de segurança. O Anthos em bare metal é afetado porque o Envoy é usado para Metrics-server. As CVEs do Envoy que estamos corrigindo nas versões 1.10.3, 1.9.6 e 1.8.9 estão listadas abaixo:
    • CVE-2021-43824 (pontuação do CVSS de 6.5, média): possível referência de ponteiro nulo ao usar a correspondência do filtro safe_regex do JWT.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar o regex de filtro JWT.
    • CVE-2021-43825 (pontuação do CVSS de 6,1, média): use após a saída quando os filtros de resposta aumentarem os dados de resposta e os dados maiores excederem os limites de buffer downstream.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de descompactação.
    • CVE-2021-43826 (pontuação do CVSS de 6,1, média): use após a troca quando estabelecer um tunelamento de TCP sobre HTTP, se o downstream desconectado durante o estabelecimento upstream de conexões.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para filtros do Envoy, é possível que você seja afetado se usar um filtro de túnel.
    • CVE-2022-21654 (pontuação do CVSS de 7,3, alta): o gerenciamento incorreto de configurações permite a reutilização da sessão de mTLS sem revalidação depois que as configurações de validação são alteradas.
      Observação: todos os serviços de ASM/Istio-on-GKE que usam mTLS são afetados por essa CVE.
    • CVE-2022-21655 (pontuação do CVSS de 7.5, alta): processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.
      Observação: embora o ASM/Istio-on-GKE não tenha suporte para os filtros do Envoy, é possível que você seja afetado se usar um filtro de resposta direta.
    • CVE-2022-23606 (pontuação do CVSS de 4.4, média): esgotamento da pilha quando um cluster é excluído pelo serviço de descoberta de clusters.
      Observação: o ASM 1.11+ é afetado por esta CVE. O ASM 1.10 e todo o Istio-on-GKE não foram afetados por esta CVE.
    • CVE-2022-21657 (pontuação do CVSS de 3,1: baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade de exploração remota devido ao erro uso de chave estendido X.509 e desvio de finalidades de confiança.
    • CVE-2022-21656 (pontuação do CVSS de 3,1, baixa): o Envoy até a versão 1.20.1 contém uma vulnerabilidade que pode ser explorada remotamente devido ao desvio de correspondência do X.509 subjectAltName (e nameConstraints).
    O Istio lançou recentemente uma correção de vulnerabilidade de segurança. O Anthos em Bare Metal é afetado porque o Istio é usado para entrada. A CVE do Istio que estamos corrigindo nas versões 1.10.3, 1.9.6 e 1.8.9 está listada abaixo:

    • CVE-2022-23635 (pontuação do CVSS de 7.5, alta): o Istiod falha ao receber solicitações com um cabeçalho "authorization" especialmente criado.
      Observação: todo o ASM/Istio-on-GKE é afetado por esta CVE.

    Para ver as descrições completas e os impactos das CVEs acima, consulte os boletins de segurança.

    Quais vulnerabilidades são corrigidas por esse patch?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656
    Alta

    GCP-2022-006

    Publicação : 14/02/2022
    Atualizado em: 16/05/2022
    16/05/2022 Atualização: o GKE versão 1.19.16-gke.7800 ou posterior foi adicionado à lista de versões que têm código para corrigir essa vulnerabilidade.
    Atualização de 12/05/2022 : versões atualizadas de patch para GKE, Google Distributed Cloud Virtual for Bare Metal, GKE on VMware e GKE na AWS. Correção de um problema em que o boletim de segurança para o GKE na AWS não era exibido quando foi adicionado em 23/02/2022.

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que devo fazer?

    Atualização de 16/05/2022: além das versões do GKE mencionadas na atualização de 12/05/2022, a versão 1.19.16-gke.7800 ou posterior do GKE também contém o código que corrige essa vulnerabilidade.


    Atualização de 12/05/2022: as seguintes versões do GKE contêm código que corrige essa vulnerabilidade:

    • 1.20.15-gke.5600 ou mais recente
    • 1.21.11-gke.1500 ou mais recente
    • 1.22.8-gke.1800 ou mais recente
    • 1.23.5-gke.1800 ou mais recente

    Atualização de 15/02/2022: instrução do gVisor corrigida.

    A vulnerabilidade é encontrada no cgroup_release_agent_write do kernel do Linux na função kernel/cgroup/cgroup-v1.c e pode ser usada como uma interrupção do contêiner. O GKE não é afetado devido à proteção do perfil AppArmor padrão no Ubuntu e no COS. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativar/alterar o perfil do AppArmor, o que não é recomendado. Além do perfil padrão do AppArmor, esses recursos também protegem contra a vulnerabilidade:

    • O Autopilot do GKE não foi afetado devido ao perfil seccomp padrão.
    • Atualização de 15/02/2022: o gVisor (GKE Sandbox) não foi afetado, já que o gVisor não permite acesso à chamada de sistema vulnerável no host.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando estiver disponível.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que devo fazer?

    Atualização de 12/05/2022: as versões a seguir do GKE no VMware contêm o código que corrige essa vulnerabilidade.

    COS
    • 1.8.8 ou mais recente
    • 1.9.5 ou mais recente
    • 1.10.2 ou mais recente
    • 1.11.0 ou mais recente
    Ubuntu
    • 1.9.6 ou mais recente
    • 1.10.3 ou mais recente
    • 1.11.0 ou mais recente

    A vulnerabilidade é encontrada na função cgroup_release_agent_write do kernel do Linux na função kernel/cgroup/cgroup-v1.c e pode ser usada como uma saída de contêiner. O GKE no VMware não é afetado devido à proteção do perfil padrão do AppArmor no Ubuntu e no COS. No entanto, alguns clientes ainda podem ficar vulneráveis se tiverem diminuído as restrições de segurança nos pods com a modificação do campo securityContext do pod ou do contêiner, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    GKE na AWS

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que devo fazer?

    Atualização de 12/05/2022 : as versões a seguir do GKE de geração atual e anterior na AWS contêm um código que corrige essa vulnerabilidade:

    Geração atual
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Geração anterior
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Atualização de 23/02/2022: adicionamos uma observação para o GKE na AWS.

    O GKE nas gerações anteriores e atuais da AWS não são afetados devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    GKE Enterprise no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

    O que devo fazer?

    Atualização de 12/05/2022: as seguintes versões do GKE no Azure contêm o código que corrige essa vulnerabilidade:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    O GKE no Azure não é afetado devido à proteção do perfil padrão do AppArmor no Ubuntu. No entanto, alguns clientes ainda poderão estar vulneráveis se tiverem reduzido as restrições de segurança nos pods por meio da modificação do campo do pod ou do contêiner do securityContext, por exemplo, desativando/alterando o perfil do AppArmor, o que não é recomendado.

    Os patches estarão disponíveis em uma versão futura. Este boletim será atualizado quando eles estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2022-0492

    Baixa

    GCP-2022-005

    Publicação: 11/02/2022
    Atualizado em: 15/02/2022
    Referência: CVE-2021-43527

    GKE;

    Descrição Gravidade
    Atualização de 15/02/2022: algumas versões do GKE mencionadas no boletim original foram combinadas com outras correções e tiveram os números de versão incrementados antes do lançamento. Os patches estão disponíveis nas seguintes versões do GKE:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. As imagens do GKE COS e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. O impacto depende de como o NSS é usado/configurado.

    O GKE não usa o libnss3 para nenhuma API acessível pela Internet. O impacto é limitado ao código no host em execução fora dos contêineres, o que é pequeno devido ao design mínimo do Chrome OS. O código do GKE em execução dentro de contêineres usando a imagem base de golang distroless não é afetado.

    O que devo fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do GKE:

    • Versão 1.18 a ser determinada
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Você está usando uma versão do GKE anterior à 1.18? Você está usando uma versão do GKE fora do SLA e precisa considerar fazer upgrade para uma das versões compatíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Média

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificado ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como eles configuram o NSS. As imagens do GKE no VMware e do Ubuntu têm uma versão vulnerável instalada e precisam receber patches.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS \#7, or PKCS \#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. O Anthos no VMware não usa libnss3 para nenhuma API acessível publicamente. Portanto, o impacto é limitado, e a gravidade dessa CVE para o GKE no VMware é classificada como média.

    O que devo fazer?

    As versões de imagens de nó do Linux para as seguintes versões do Anthos foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade do plano de controle e dos nós para uma das seguintes versões do Anthos:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Você está usando uma versão do GKE no VMware anterior à 1.18? Você está usando uma versão do Anthos fora do SLA e precisa fazer upgrade para uma das versões compatíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Média

    GKE Enterprise no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. Os clusters do Anthos em imagens do Azure Ubuntu têm uma versão vulnerável instalada, e precisam receber patches.

    Possivelmente, a CVE-2021-43527 pode ter um grande impacto nos aplicativos que usam NSS para processar assinaturas codificadas em CMS, S/MIME, PKCS#7 ou PKCS#12. Além disso, aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados. Os impactos dependem de como eles configuram/usam o NSS. Os clusters do Anthos no Azure não usam libnss3 para nenhuma API publicamente acessível. Portanto, o impacto é limitado, e a gravidade da CVE para o Anthos no Azure é classificada como "Média".

    O que devo fazer?

    As versões das imagens de nó do Linux para as versões do GKE a seguir no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do Anthos no Azure:

    • v1.21.6-gke.1500

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-43527

    Média

    GCP-2022-004

    Publicação: 04/02/2022
    Referência: CVE-2021-4034

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    O que devo fazer?

    O GKE não é afetado porque o módulo vulnerável, policykit-1, não está instalado nas imagens do COS ou do Ubuntu usadas no GKE. Nenhuma ação é necessária.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    A configuração padrão do GKE Enterprise já dá aos usuários privilégios "sudo" completos, então essa exploração não muda a postura de segurança atual do GKE Enterprise.

    Detalhes técnicos

    Para que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no VMware inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite o sudo sem senha para qualquer pessoa com acesso ao shell. Portanto, essa vulnerabilidade não concede mais privilégios do que o usuário já tem.

    O que devo fazer?

    Você não precisa fazer nada. O GKE no VMware não é afetado.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade
    O GKE na AWS não foi afetado. O módulo vulnerável, o policykit-1, não está instalado nas imagens do Ubuntu usadas pelas versões atuais e anteriores do GKE na AWS. Nenhuma

    GKE Enterprise no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

    A configuração padrão do GKE Enterprise já dá aos usuários privilégios "sudo" completos, então essa exploração não muda a postura de segurança atual do GKE Enterprise.

    Detalhes técnicos

    Para que esse bug possa ser explorado, um invasor precisa de um shell não raiz no sistema de arquivos do nó e ter a versão vulnerável do pkexec instalada. Embora o GKE no Azure inclua uma versão do policykit-1 nas imagens de lançamento, a configuração padrão do GKE Enterprise permite o sudo sem senha para qualquer pessoa com acesso ao shell. Portanto, essa vulnerabilidade não dá a um usuário mais privilégios do que ele já tem.

    O que devo fazer?

    Você não precisa fazer nada. O GKE no Azure não foi afetado.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade
    O Google Distributed Cloud Virtual for Bare Metal pode ser afetado dependendo dos pacotes instalados no sistema operacional gerenciado pelo cliente. Verifique as imagens do SO e corrija-as, se necessário. Nenhuma

    GCP-2022-002

    Publicação: 01/02/2022
    Atualizado em 07/03/2022
    Referência:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Atualização de 2022-2022-0185 no GKE e atualização do GKE: Foram adicionadas atualizações de lançamento do GKE e do GKE no VMware.

    GKE;

    Atualizado em: 07/03/2022

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, no GKE no VMware, no GKE na AWS (geração atual e anterior) e no GKE no Azure.

    Os pods que usam o GKE Sandbox não são vulneráveis a essas vulnerabilidades.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    O caminho de exploração dessa vulnerabilidade que depende do syscall "unshare" é bloqueado em clusters do GKE Autopilot por padrão usando o filtro seccomp.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que fazer?

    Atualização de 07/03/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir todas essas vulnerabilidades para as imagens do Ubuntu e do COS. Faça upgrade do plano de controle e dos nós para uma destas versões do GKE:

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Atualização de 25/02/2022: se você usar imagens de nó do Ubuntu, o 1.22.6-gke.1000 não se destina à CVE-2021-22600. Este boletim será atualizado com as versões de patch do Ubuntu assim que estiverem disponíveis.


    Atualização de 23/02/2022: as versões das imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Atualização de 04/02/2022: a data de início do lançamento das versões de patch do GKE foi 2 de fevereiro.


    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    As versões 1.22 e 1.23 também estão em andamento. Este boletim será atualizado com versões específicas quando elas estiverem disponíveis.

    Qual vulnerabilidade é corrigida por esse patch?

    Alta

    os clusters do GKE no

    Atualização: 23/02/2022

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, no GKE no VMware, no GKE na AWS (geração atual e anterior) e no GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que fazer?

    Atualização de 23/02/2022: a versão 1.10.2 (corrige a CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) em 1º de março.

    Atualização de 23/02/2022: versões com patch corrigidas da CVE-2021-2260.

    A versão 1.10.1 não resolve a CVE-2021-22600, mas aborda as outras vulnerabilidades. As versões 1.9.4 e 1.10.2, ambos não lançadas, são relacionadas à CVE-2021-22600. As versões das imagens de nó do Linux para as versões a seguir do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE no VMware:

    • 1.10.1 (corrige a CVE-2021-4154 e a CVE-2022-0185). lançada em 10 de fevereiro)
    • 1.8.7 (corrige a CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185). lançada em 17 de fevereiro)
    • 1.9.4 (corrige a CVE-2021-22600, a CVE-2021-4154 e a CVE-2022-0185). lançada em 23 de fevereiro)
    • 1.10.2 (corrige a CVE-2021-22600, a CVE-2021-4154 e a CVE-2022-0185). (programada para 24 de fevereiro)

    Atualização de 04/02/2022: informações adicionadas sobre as imagens do Ubuntu que não abordam a CVE-2021-22600.

    As versões das imagens de nó do Linux para as versões a seguir do GKE no VMware foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE no VMware:

    • 1.10.1 (apenas atualização do COS). O patch do Ubuntu será 1.10.2 programado para 23 de fevereiro
    • 1.9.4 (programado para 15 de fevereiro)
    • 1.8.7 (programado para 15 de fevereiro)

    Qual vulnerabilidade é corrigida por esse patch?

    Alta

    os clusters do GKE no

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, no GKE no VMware, no GKE na AWS (geração atual e anterior) e no GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que devo fazer?

    GKE na AWS

    As versões das imagens de nó do Linux para as seguintes versões do GKE na AWS foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE na AWS:

    • 1.21.6-gke.1500 e mais recentes (disponível em fevereiro)

    GKE na AWS (geração anterior)

    As versões das imagens de nó do Linux para as seguintes versões do GKE na AWS (geração anterior) foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para uma das seguintes versões do GKE na AWS (geração anterior):

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Qual vulnerabilidade é corrigida por esse patch?

    Alta

    GKE Enterprise no

    Descrição Gravidade

    Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, no GKE no VMware, no GKE na AWS (geração atual e anterior) e no GKE no Azure.

    Para mais detalhes, consulte as Notas de lançamento do COS.

    Detalhes técnicos

    Na CVE-2021-4154 (em inglês), um invasor pode explorar o parâmetro de chamada do sistema fsconfig para acionar um bug de uso após a liberação no kernel do Linux, resultando na implantação de privilégios de raiz. Esse é um ataque local de escalonamento de privilégios que levará a um rompimento de contêiner.

    A CVE-2021-22600 é uma exploração livre dupla em package_set_ring que pode levar a um escape de contêiner para o nó do host.

    Com a CVE-2022-0185 (link em inglês), um bug de heap overflow no legacy_parse_param() pode gerar uma gravação fora dos limites, o que causará uma falha do contêiner.

    Os usuários que ativaram manualmente o perfil seccomp de ambiente de execução padrão do contêiner nos clusters do GKE Standard também estão protegidos.

    O que devo fazer?

    As versões das imagens de nó do Linux para as seguintes versões do GKE no Azure foram atualizadas com código para corrigir essas vulnerabilidades. Faça upgrade dos clusters para a seguinte versão do GKE no Azure:

    • 1.21.6-gke.1500 e mais recentes (disponível em fevereiro)

    Qual vulnerabilidade é corrigida por esse patch?

    Alto

    GCP-2021-024

    Publicação: 21/10/2021
    Referência: CVE-2021-25742

    GKE

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que devo fazer?

    Esse problema de segurança não afeta sua infraestrutura de cluster do GKE ou qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que devo fazer?

    Esse problema de segurança não afeta sua infraestrutura de cluster do GKE ou qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que devo fazer?

    Esse problema de segurança não afeta sua infraestrutura de cluster do GKE ou qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade

    Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

    O que devo fazer?

    Esse problema de segurança não afeta sua infraestrutura de cluster do GKE ou qualquer infraestrutura de cluster de ambientes do GKE Enterprise. Se você usar ingress-nginx nas suas implantações de carga de trabalho, lembre-se desse problema de segurança. Consulte o problema ingress-nginx 7837 para ver mais detalhes.

    Nenhuma

    GCP-2021-019

    Publicação: 29/09/2021

    GKE;

    Descrição Gravidade

    Há um problema conhecido em que a atualização de um recurso BackendConfig usando a API v1beta1 remove uma política de segurança ativa do Google Cloud Armor do Serviço.

    Meu ambiente foi afetado por essa vulnerabilidade?

    Se o BackendConfig já foi atualizado com a API v1beta1, a política de segurança do Google Cloud Armor pode ter sido removida. Para determinar se isso aconteceu, execute o seguinte comando:

    
    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Se a resposta retornar a saída: o cluster é afetado pelo problema. A saída desse comando retorna uma lista de recursos BackendConfig (<namespace>/<name>) que foram afetados pelo problema.
    • Se a saída estiver vazia: o BackendConfig não foi atualizado usando a API v1beta1 desde que o problema foi identificado. As atualizações futuras do BackendConfig precisam usar somente v1.

    Esse problema afeta as seguintes versões do GKE:

    • 1.18.19-gke.1400 a 1.18.20-gke.5100 (exclusivo)
    • 1.19.10-gke.700 a 1.19.14-gke.300 (exclusivo)
    • 1.20.6-gke.700 a 1.20.9-gke.900 (exclusivo)
    • 1.21 a 1.21.1-gke.2700 (exclusivo)

    Se você não configurar o Google Cloud Armor nos recursos de Entrada pelo BackendConfig, esse problema não afetará os clusters.

    O que devo fazer?

    Faça upgrade do plano de controle do GKE para uma das versões atualizadas a seguir que corrige esse problema e permite que os recursos v1beta1 BackendConfig sejam usados com segurança:

    • 1.21.1-gke.2700 e posterior
    • 1.20.9-gke.900 e posterior
    • 1.19.14-gke.300 e posterior
    • 1.18.20-gke.5100 e posterior

    Para evitar esse problema, evite a implantação de recursos v1beta1 BackendConfig. Se você configurou o Google Cloud Armor nos recursos do Ingress pelo BackendConfig e descobriu que foi afetado pelas etapas acima, reative o Google Cloud Armor enviando uma atualização à sua instância atual BackendConfig pela versão da API cloud.google.com/v1 .

    Para evitar esse problema, faça atualizações somente para o BackendConfig usando a API v1 BackendConfig.

    Como a BackendConfig da v1 é compatível com os mesmos campos que v1beta1 e não faz alterações interruptivas, o campo da API pode ser atualizado de forma transparente. Para fazer isso, substitua o campo apiVersion de qualquer manifesto BackendConfig ativo por cloud.google.com/v1 e faça não use cloud.google.com/v1beta1.

    O manifesto de amostra a seguir descreve um recurso BackendConfig que usa a API v1:

    
    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Se você tiver sistemas ou ferramentas de CI/CD que atualizam regularmente os recursos do BackendConfig, verifique se você está usando o grupo de APIs cloud.google.com/v1 nesses sistemas

    Baixa

    GCP-2021-022

    Publicação: 23/09/2021

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta no módulo LDAP do GKE Enterprise Identity Service (AIS, na sigla em inglês) do GKE nas versões 1.8 e 1.8.1 do GKE no VMware, em que uma chave semente usada para gerar chaves é previsível. Com essa vulnerabilidade, um usuário autenticado pode adicionar declarações arbitrárias e escalonar privilégios indefinidamente.

    Detalhes técnicos

    Uma adição recente ao código ACS cria chaves simétricas com o módulo de matemática/randa do golang, que não é adequado para códigos sensíveis à segurança. O módulo é usado de modo a gerar uma chave previsível. Durante a verificação de identidade, é gerada uma chave do serviço de token seguro (STS, na sigla em inglês) que, depois, é criptografada com uma chave simétrica simples de derivar.

    O que devo fazer?

    Essa vulnerabilidade afeta apenas os clientes que usam o AIS no GKE no VMware versões 1.8 e 1.8.1. Para usuários do GKE no VMware 1.8, faça upgrade dos clusters para a seguinte versão:

    • 1.8.2
    Alto

    GCP-2021-021

    Publicação: 22/09/2021
    Referência: CVE-2020-8561

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões atualmente disponíveis do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2020-8561

    Média

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões atualmente disponíveis do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2020-8561

    Média

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões atualmente disponíveis do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2020-8561

    Média

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

    Detalhes técnicos

    Com essa vulnerabilidade, os agentes que controlam as respostas de solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration são capazes de redirecionar solicitações kube-apiserver para redes privadas do servidor da API. Se esse usuário puder visualizar os registros kube-apiserver quando o nível de registro estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos registros.

    Esse problema pode ser atenuado alterando determinados parâmetros do servidor de API.

    O que fazer?

    Nenhuma ação é necessária no momento.

    As versões atualmente disponíveis do GKE e do GKE Enterprise implementaram as seguintes mitigações que protegem contra esse tipo de ataque:

    • A sinalização --profiling de kube-apiserver está definida como false.
    • O nível de registro kube-apiserver está definido abaixo de 10.

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2020-8561

    Médio

    GCP-2021-018

    Publicação: 15/09/2021
    Atualizado em: 24/09/2021
    Referência: CVE-2021-25741

    Atualização de 24/09/2021: o boletim do GKE em Bare Metal foi atualizado com outras versões de patch.

    Atualização de 20/09/2021: boletins adicionados para o GKE em Bare Metal

    Atualização de 16/09/2021: novos boletins para o GKE no VMware


    GKE;

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que devo fazer?

    Recomendamos que você faça upgrade dos pools de nós para uma das versões a seguir ou mais recente para aproveitar os patches mais recentes:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    As seguintes versões também contêm a correção:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Alta

    os clusters do GKE no

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que devo fazer?

    Atualizado em 24/09/2021: as versões com patch 1.8.3 e 1.7.4 já estão disponíveis.

    Atualizado em 17/09/2021: foi corrigida a lista de versões disponíveis que contêm o patch.


    As seguintes versões do GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Alta

    os clusters do GKE no

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que devo fazer?

    Atualização de 16/09/2021: adição da lista de versões gke compatíveis para objetos AWSCluster e AWSNodePool.


    As seguintes versões do GKE na AWS foram atualizadas com código para corrigir essa vulnerabilidade. Nesse caso, recomendamos o seguinte:

    • Faça upgrade dos seus objetos AWSManagementService, AWSCluster e AWSNodePool para a seguinte versão:
      • 1.8.2
    • Atualize o gke-version dos objetos AWSCluster e AWSNodePool para uma das versões compatíveis do Kubernetes:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Alta

    os clusters do GKE no

    Descrição Gravidade

    Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

    Detalhes técnicos:

    No problema CVE-2021-25741, o invasor pode criar um link simbólico de um emptyDir montado que redireciona para o sistema de arquivos raiz do nó ( / ). O kubelet seguirá o link simbólico e montará a raiz do host no contêiner.

    O que devo fazer?

    As seguintes versões do GKE em bare metal foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos seus clusters de administrador e de usuário para uma das seguintes versões:

    • 1.8.3
    • 1.7.4
    Alto

    GCP-2021-017

    Publicação: 01/09/2021
    Atualizado em: 23/09/2021
    Referência: CVE-2021-33909
    CVE-2021-33910

    GKE;

    Descrição Gravidade
    Atualização de 23/19/2021:

    Contêineres em execução dentro do GKE Sandbox não são afetados por essa vulnerabilidade em ataques originados dentro do contêiner.


    Atualização de 15/09/2021:

    As seguintes versões do GKE corrigem as vulnerabilidades:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que devo fazer?

    As versões de imagens de nó do Linux para as seguintes versões do GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Alta

    os clusters do GKE no

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que devo fazer?

    As versões das imagens de nó do Linux para o GKE na AWS foram atualizadas com o código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Alta

    os clusters do GKE no

    Descrição Gravidade

    Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

    Detalhes técnicos:

    Na CVE-2021-33909 (em inglês), a camada do sistema de arquivos do kernel do Linux não restringe corretamente as alocações de buffer seq, levando a um estouro de números inteiros, uma gravação fora dos limites e escalonamento para raiz
    Com a CVE-2021-33910, a systemd tem uma alocação de memória com um valor de tamanho excessivo (envolvendo strdupa e alloca para um pathname controlado por um invasor local que resulta em falha do sistema operacional.

    O que devo fazer?

    As versões das imagens de nó Linux e COS para o GKE no VMware foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (somente no Linux)

    Consulte Histórico de versões: Kubernetes e versões do kernel do nó.

    Alta

    GCP-2021-015

    Publicação: 13/07/2021
    Atualizado em: 15/07/2021
    Referência: CVE-2021-22555

    GKE;

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios CAP_NET_ADMIN pode causar uma falha de root no contêiner. Essa vulnerabilidade afeta todos os clusters do GKE e o GKE no VMware que executam o Linux versão 2.6.19 ou mais recente.

    Detalhes técnicos

    Nesse ataque, uma gravação fora dos limites em setsockopt no subsistema netfilter no Linux pode permitir uma corrupção de heap (e, portanto, negação de serviço) e o escalonamento de privilégios.

    O que fazer?

    As seguintes versões do Linux no GKE foram atualizadas com código para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-22555

    Alta

    os clusters do GKE no

    Descrição Gravidade

    Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios CAP_NET_ADMIN pode causar uma falha de root no contêiner. Essa vulnerabilidade afeta todos os clusters do GKE e o GKE no VMware que executam o Linux versão 2.6.19 ou mais recente.

    Detalhes técnicos

    Nesse ataque, uma gravação fora dos limites em setsockopt no subsistema netfilter no Linux pode permitir uma corrupção de heap (e, portanto, negação de serviço) e o escalonamento de privilégios.

    O que devo fazer?

    O código das seguintes versões do Linux no GKE on VMware foi atualizado para corrigir essa vulnerabilidade. Faça upgrade dos clusters para uma das seguintes versões:

    • 1.8
    • 1.7.3
    • 1.6.4

    Qual vulnerabilidade é corrigida por esse patch?

    CVE-2021-22555

    Alta

    GCP-2021-014

    Publicação: 05/07/2021
    Referência: CVE-2021-34527

    GKE;

    Descrição Gravidade

    A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "Printnightmare", que também afeta os spoolers de impressão do Windows. Vulnerabilidade do Spooler de impressão crítica do Windows

    O que devo fazer?

    Nenhuma ação é necessária. Os nós do GKE no Windows não contêm o serviço Spooler afetado como parte da imagem base. Por isso, as implantações do GKE no Windows não estão vulneráveis a esse ataque.

    Quais vulnerabilidades são corrigidas por esse boletim?

    Alta

    GCP-2021-012

    Publicação: 01/07/2021
    Atualizado em: 09/07/2021
    Referência: CVE-2021-34824

    GKE;

    Descrição Gravidade

    O que devo fazer?

    Recentemente, o projeto Istio disclosed uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod.

    O que devo fazer?

    Por padrão, os clusters do GKE não executam o Istio e, quando ativados, usam a versão 1.6 do Istio, que não é vulnerável a esse ataque. Se você instalou ou fez upgrade do Istio no cluster para o Istio 1.8 ou posterior, faça upgrade do Istio para a versão compatível mais recente.

    Alta

    os clusters do GKE no

    Descrição Gravidade

    O que devo fazer?

    Recentemente, o projeto Istio disclosed uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod.

    O que devo fazer?

    Os clusters do Anthos no VMware v1.6 e v1.7 não são vulneráveis a esse ataque. Os clusters do Anthos no VMware v1.8 são vulneráveis.

    Se você estiver usando clusters do Anthos no VMware v1.8, faça upgrade para a seguinte versão com patch ou posterior:

    • 1.8.0-gke.25
    Alta

    os clusters do GKE no

    Descrição Gravidade

    O que devo fazer?

    Recentemente, o projeto Istio disclosed uma nova vulnerabilidade de segurança (CVE-2021-34824) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que é possível acessar as credenciais especificadas nos campos "gateway" e "DestinationRule "credentialName" de diferentes namespaces.

    Detalhes técnicos:

    O gateway seguro do Istio ou as cargas de trabalho que usam a DestinationRule podem carregar chaves privadas e certificados TLS com base em secrets do Kubernetes pela configuração credentialName. A partir do Istio 1.8, os secrets são lidos no istiod e transmitidos para gateways e cargas de trabalho pelo XDS.

    Normalmente, uma implantação de gateway ou carga de trabalho só consegue acessar certificados TLS e chaves privadas armazenadas no secret dentro do namespace. No entanto, um bug no istiod permite que um cliente autorizado acesse a API Istio XDS e recupere qualquer certificado TLS e chaves privadas armazenadas em cache em istiod. Os clusters criados ou atualizados com clusters do Anthos no bare metal v1.8.0 são afetados por essa CVE.

    O que devo fazer?

    O Anthos v1.6 e 1.7 não são vulneráveis a esse ataque. Se você tiver clusters v1.8.0, faça o download e instale a versão 1.8.1 do bmctl e faça upgrade dos clusters para a seguinte versão com patch:

    • 1.8.1
    Alta

    GCP-2021-011

    Publicação: 04/06/2021
    Atualizado em: 19/10/2021
    Referência: CVE-2021-30465

    Atualização de 19/10/2021: adicionamos boletins para GKE no VMware, GKE na AWS e GKE em Bare Metal.

    GKE;

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA".

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que devo fazer?

    Há um patch recém-lançado para runc (1.0.0-rc95) que corrige essa vulnerabilidade.

    Faça upgrade do cluster do GKE para uma das versões atualizadas a seguir:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Média

    os clusters do GKE no

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Para o GKE no VMware, como a exploração dessa vulnerabilidade exige a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como MÉDIA.

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que devo fazer?

    Há um patch recém-lançado a runc que corrige essa vulnerabilidade. Faça upgrade do GKE no VMware para uma das seguintes versões:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Média

    os clusters do GKE no

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Como essa é uma vulnerabilidade no nível do SO, o GKE na AWS não está vulnerável.

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que devo fazer?

    Verifique se a versão do SO em que você está executando o GKE na AWS foi atualizada para a versão mais recente que tenha um pacote runc atualizado.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade

    A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

    Como essa é uma vulnerabilidade no nível do SO, o GKE em Bare Metal não está vulnerável.

    Detalhes técnicos

    O pacote runc é vulnerável a um ataque de troca de link simbólico ao montar um volume.

    Para esse ataque específico, um usuário pode explorar uma disputa ao iniciar vários pods em um único nó simultaneamente, todos com a mesma quantidade de volume com um link simbólico.

    Se o ataque for bem-sucedido, um dos pods ativará o sistema de arquivos do nó com permissões raiz.

    O que devo fazer?

    Verifique se a versão do SO em que você está executando o Google Distributed Cloud Virtual para Bare Metal foi atualizada para a versão mais recente que tenha um pacote runc atualizado.

    Nenhuma

    GCP-2021-006

    Data de publicação: 11/05/2021
    ReferênciaCVE-2021-31920

    GKE;

    Descrição Gravidade

    Recentemente, o projeto Istio disclosed uma nova vulnerabilidade de segurança (CVE-2021-31920) que afeta o Istio.

    O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando regras de autorização com base em caminho forem usadas.

    O que devo fazer?

    É altamente recomendável atualizar e reconfigurar os clusters do GKE. É importante concluir as duas etapas abaixo para resolver a vulnerabilidade:

    1. Atualize os clusters: preencha as instruções a seguir para fazer o upgrade dos clusters para as versões de patch mais recentes assim que possível:
      • Se você estiver usando o Istio no GKE 1.6:

        A versão de lançamento mais recente do patch é 1.6.14-gke.3. Siga as instruções de upgrade para fazer upgrade dos clusters para a versão mais recente.

      • Se você estiver usando o Istio no GKE 1.4:
      • As versões do Istio no GKE 1.4 não são mais compatíveis com o Istio, e não oferecemos suporte a correções de CVE para essas versões. Siga as instruções de upgrade do Istio (em inglês) para fazer upgrade dos clusters para 1.6. Depois, siga as instruções acima para conseguir a versão mais recente do Istio no GKE 1.6.

    2. Configure o Istio:

      Depois que os clusters forem corrigidos, você precisará reconfigurar o Istio no GKE. Consulte o guia de práticas recomendadas de segurança para configurar corretamente o sistema.

    Alta

    GCP-2021-004

    Data de publicação: 06/05 2021
    ReferênciaCVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE;

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    Os clusters do GKE não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ficar vulneráveis a ataques de negação de serviço.

    O que devo fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do seu plano de controle do GKE para uma das seguintes versões com patch:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Média

    os clusters do GKE no

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    O GKE no VMware usa o Envoy por padrão para Entrada, de modo que os serviços Entrada podem estar vulneráveis à negação de serviço.

    O que devo fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do GKE no VMware para uma das seguintes versões com patch quando for lançada:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Média

    os clusters do GKE no

    Atualizado em: 06/05/2021

    Descrição Gravidade

    Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que permitem que um invasor cause uma falha no Envoy.

    O Google Distributed Cloud Virtual for Bare Metal usa o Envoy por padrão para a Entrada, portanto, os serviços podem estar vulneráveis à negação de serviço.

    O que devo fazer?

    Para corrigir essas vulnerabilidades, faça upgrade do seu cluster do Google Distributed Cloud Virtual for Bare Metal para uma das seguintes versões com patch quando for lançada:

    • 1.6.3
    • 1.7.1
    Média

    GCP-2021-003

    Data de publicação: 19/04/2021
    ReferênciaCVE-2021-25735

    GKE;

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça o upgrade do cluster do GKE para uma das seguintes versões com patch:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Média

    os clusters do GKE no

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que devo fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Média

    os clusters do GKE no

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que devo fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Média

    os clusters do GKE no

    Descrição Gravidade

    O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que permite que as atualizações de nó ignorem uma validação do webhook de admissão.

    Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementada que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

    O que devo fazer?

    Uma versão de patch futura incluirá uma mitigação dessa vulnerabilidade.

    Média

    GCP-2021-001

    Data de publicação: 28/01/2021
    ReferênciaCVE-2021-3156

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    Os clusters do Google Kubernetes Engine (GKE) não são afetados por esta vulnerabilidade:

    • Os usuários autorizados a nós SSH para GKE já são considerados altamente privilegiados e podem usar sudo para conseguir privilégios raiz desde a criação. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do GKE é criada com base em imagens de base distroless, que não têm um shell ou sudo instalados. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não dá acesso ao host devido ao limite do contêiner.

    O que fazer?

    Como os clusters do GKE não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

    O GKE terá o patch dessa vulnerabilidade aplicado em uma próxima versão na cadência regular.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    O GKE no VMware não é afetado por esta vulnerabilidade:

    • Os usuários autorizados a se conectar via SSH aos nós do GKE no VMware já são considerados altamente privilegiados e podem usar sudo para ter privilégios raiz por padrão. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do GKE no VMware é criada com imagens base distroless que não têm um shell ou sudo instalado. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que devo fazer?

    Como os clusters do GKE no VMware não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

    O GKE no VMware vai aplicar o patch dessa vulnerabilidade em uma versão futura regularmente.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    O GKE na AWS não é afetado por esta vulnerabilidade:

    • Os usuários que estão autorizados a se conectar via SSH ao GKE nos nós da AWS já são considerados altamente privilegiados e podem usar sudo para ter privilégios raiz por padrão. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema do GKE na AWS é criada com base em imagens base distroless que não têm um shell ou sudo instalado. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que devo fazer?

    Como os clusters do GKE na AWS não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

    O GKE na AWS terá o patch dessa vulnerabilidade aplicado em uma versão futura em frequência regular.

    Nenhuma

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

    Os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por esta vulnerabilidade:

    • Os usuários autorizados a se conectar via SSH ao Google Distributed Cloud Virtual para nós Bare Metal já são considerados altamente privilegiados e podem usar sudo para ter privilégios raiz por padrão. A vulnerabilidade não produz mais caminhos de escalonamento de privilégios nesse cenário.
    • A maioria dos contêineres do sistema Bare Metal do Google Distributed Cloud Virtual é criada com imagens base distroless que não têm um shell ou sudo instalado. Outras imagens são criadas de uma imagem base do Debian que não contém sudo. Mesmo que sudo esteja presente, o acesso a sudo no contêiner não concede acesso ao host devido ao limite do contêiner.

    O que devo fazer?

    Como os clusters do Google Distributed Cloud Virtual para Bare Metal não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

    O patch dessa vulnerabilidade do Google Distributed Cloud Virtual for Bare Metal será aplicado em uma versão futura em ritmo regular.

    Nenhuma

    GCP-2020-015

    Publicação: 07/12/2020
    Atualizado em: 22/12/2021
    Referência: CVE-2020-8554

    Atualização de 22/12/2021: usa gcloud beta em vez do comando gcloud.

    Atualização de 15/12/2021: mitigação adicional do GKE.

    GKE;

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizado em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem upgrade para o GKE versão 1.21 poderão bloquear serviços com ExternalIPs usando o comando:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade por si só não dá a um invasor permissões para criar um serviço do Kubernetes.

    Todos os clusters do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade.

    O que devo fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o GKE Enterprise Policy Controller ou o Gatekeeper com este modelo de restrição e aplique-o. Exemplo:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Média

    os clusters do GKE no

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizado em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem upgrade para o GKE versão 1.21 poderão bloquear serviços com ExternalIPs usando o comando:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade por si só não dá a um invasor permissões para criar um serviço do Kubernetes.

    Todos os GKE no VMware são afetados por essa vulnerabilidade.

    O que devo fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o GKE Enterprise Policy Controller ou o Gatekeeper com este modelo de restrição e aplique-o. Exemplo:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Média

    os clusters do GKE no

    Descrição Gravidade
    Atualizado em 22/12/2021: o comando para o GKE na seção a seguir deve usar gcloud beta em vez do comando gcloud.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    Atualizado em 15/12/2021 no GKE, a seguinte mitigação já está disponível:
    1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs serão bloqueados por um controlador de admissão DenyServiceExternalIPs ativado por padrão para novos clusters.
    2. Os clientes que fizerem upgrade para o GKE versão 1.21 poderão bloquear serviços com ExternalIPs usando o comando:
      
      gcloud container clusters update –no-enable-service-externalips
      

    Para mais informações, consulte Como aumentar a segurança do cluster.


    O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que permite que um invasor que conseguiu permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster.

    Essa vulnerabilidade por si só não dá a um invasor permissões para criar um serviço do Kubernetes.

    Todos os GKE na AWS são afetados por essa vulnerabilidade.

    O que devo fazer?

    O Kubernetes pode precisar fazer alterações de design incompatíveis com versões anteriores em uma versão futura para lidar com a vulnerabilidade.

    Se muitos usuários compartilharem acesso ao cluster com permissões para criar serviços, como em um cluster multilocatário, considere aplicar uma mitigação nesse meio tempo. Por enquanto, a melhor abordagem para a mitigação é restringir o uso de ExternalIPs em um cluster. ExternalIPs não são um recurso frequentemente usado.

    Restrinja o uso de ExternalIPs em um cluster com um dos seguintes métodos:

    1. Use o GKE Enterprise Policy Controller ou o Gatekeeper com este modelo de restrição e aplique-o. Exemplo:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Ou instale um controlador de admissão para impedir o uso de ExternalIPs. O projeto do Kubernetes forneceu um controlador de admissão de amostra para essa tarefa.

    Como mencionado no Anúncio do Kubernetes, nenhuma mitigação é fornecida para os serviços do tipo LoadBalancer porque, por padrão, apenas usuários altamente privilegiados e componentes do sistema recebem a permissão container.services.updateStatus que é necessária para fazer uso dessa vulnerabilidade.

    Média

    GCP-2020-014

    Publicado em: 20/10/2020
    Referência: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE;

    Atualizado em: 20/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE não é afetado.

    O que devo fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    Nenhuma

    os clusters do GKE no

    Atualizado em: 10/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE no VMware não foi afetado.

    O que devo fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    Nenhuma

    os clusters do GKE no

    Atualizado em: 20/10/2020

    Descrição Gravidade

    Recentemente, o projeto do Kubernetes descobriu vários problemas que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são:

    • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
    • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
    • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
    • CVE-2020-8566: adminSecrets do Ceph RBD expostos nos registros com logLevel >= 4.

    O GKE na AWS não foi afetado.

    O que devo fazer?

    Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

    Nenhuma

    GCP-2020-012

    Publicado em: 14/09/2020
    ReferênciaCVE-2020-14386

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade.

    O que fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do plano de controle e, depois, faça upgrade dos nós para uma das versões com patch listadas abaixo:

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    O uso dessa vulnerabilidade requer CAP_NET_RAW, mas poucos ontêineres geralmente exigem CAP_NET_RAW. Este e outros recursos avançados precisam ser bloqueados por padrão usando PodSecurityPolicy ou o Policy Controller:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou o Gatekeeper com este modelo de restrição e aplicando-o, por exemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW
    .

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alta

    os clusters do GKE no

    Atualizado em: 17/09/2020

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Todos os nós do GKE no VMware foram afetados.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do {gke_on_prem_name}} conterão a correção da vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:

    • GKE no VMware 1.4.3, agora disponível.
    • GKE no VMware 1.3.4, disponível agora.

    O uso dessa vulnerabilidade requer CAP_NET_RAW, mas poucos ontêineres geralmente exigem CAP_NET_RAW. Este e outros recursos avançados precisam ser bloqueados por padrão usando PodSecurityPolicy ou o Policy Controller:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou o Gatekeeper com este modelo de restrição e aplicando-o, por exemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alta

    os clusters do GKE no

    Atualizado em: 13/10/2020

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que permite que os escapes de contêineres recebam privilégios raiz no nó do host.

    Todos os nós do GKE nos nós da AWS foram afetados.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do serviço de gerenciamento e dos clusters do usuário para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes vão incluir a correção dessa vulnerabilidade, e este boletim será atualizado quando elas estiverem disponíveis:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou o Gatekeeper com este modelo de restrição e aplicando-o, por exemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A vulnerabilidade CVE-2020-14386, que permite que os contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel. Isso também permite fazer o escape do contêiner e receber privilégios de raiz no nó do host. Isso é classificado como uma vulnerabilidade de alta gravidade.

    Alta

    GCP-2020-011

    Publicado em: 2020-07-24
    ReferênciaCVE-2020-8558

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    A exploração dessa vulnerabilidade nos clusters do GKE requer que um invasor tenha privilégios de administrador de rede no Google Cloud que hospede a VPC do cluster. Por si só, essa vulnerabilidade não concede privilégios de administrador de rede a invasores. Por esse motivo, essa vulnerabilidade recebeu uma gravidade baixa no GKE.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça upgrade dos pools de nós do cluster para as seguintes versões do GKE (e posteriores):

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês).

    Baixa

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção dessa vulnerabilidade:

    • GKE no VMware 1.4.1

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558.

    Média

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de rede, CVE-2020-8558 (em inglês), foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

    A exploração dessa vulnerabilidade nos clusters de usuário requer que um invasor desative verificações de destino de origem nas instâncias do EC2 no cluster. Isso exige que o invasor tenha permissões do IAM da AWS para ModifyInstanceAttribute ou ModifyNetworkInterfaceAttribute nas instâncias do EC2. Por esse motivo, essa vulnerabilidade recebeu uma gravidade baixa para o GKE na AWS.

    O que devo fazer?

    Para corrigir essa vulnerabilidade, faça upgrade do cluster para uma versão com patch. As próximas versões do GKE na AWS ou mais recentes precisam incluir a correção para essa vulnerabilidade:

    • GKE na AWS 1.4.1-gke.17

    Qual vulnerabilidade é corrigida por esse patch?

    Esse patch corrige a seguinte vulnerabilidade: CVE-2020-8558 (em inglês).

    Baixa

    GCP-2020-009

    Publicado em: 15/07/2020
    ReferênciaCVE-2020-8559

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que fazer?

    Faça upgrade do cluster para uma versão com patch. Os clusters serão atualizados automaticamente nas próximas semanas, e as versões com patch estarão disponíveis até 19 de julho de 2020 para uma programação acelerada por upgrade manual. As seguintes versões do plano de controle do GKE ou mais recentes contêm a correção dessa vulnerabilidade:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Média

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que devo fazer?

    Faça upgrade do cluster para uma versão com patch. As próximas versões do GKE no VMware ou mais recentes contêm a correção dessa vulnerabilidade:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Média

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559 (em inglês), foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

    Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

    O que devo fazer?

    O GKE na AWS GA (1.4.1, disponível no final de julho de 2020) ou mais recente inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8559. Isso é classificado como uma vulnerabilidade média do GKE, porque exige que o invasor tenha informações em primeira mão sobre o cluster, os nós e as cargas de trabalho para aproveitar esse ataque de forma eficaz, além de um nó comprometido. Essa vulnerabilidade sozinha não fornece um nó comprometido a um invasor.

    Média

    GCP-2020-007

    Publicado em: 01/06/2020
    ReferênciaCVE-2020-8555

    GKE;

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a última versão do patch, como detalhamos a seguir. Não é necessário fazer upgrade do nó.

    O que fazer?

    Para quase todos os clientes, nenhuma ação é necessária. A grande maioria dos clusters já executa uma versão com o patch. As seguintes versões do GKE ou superiores contêm a solução para essa vulnerabilidade:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Os clusters que usam canais de lançamento já estão nas versões do plano de controle com a mitigação.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Média

    os clusters do GKE no

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó.

    O que devo fazer?

    As seguintes versões do GKE no VMware ou mais recentes contêm a correção dessa vulnerabilidade:

    • Anthos 1.3.0

    Se você estiver usando uma versão anterior, faça upgrade do cluster atual para uma versão que contenha a correção.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Média

    os clusters do GKE no

    Descrição Gravidade

    A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE) usa os controladores do Kubernetes e, portanto, foi afetado por essa vulnerabilidade. Recomendamos que você faça o upgrade do plano de controle para a versão mais recente do patch, conforme detalhado abaixo. Não é necessário fazer upgrade do nó.

    O que devo fazer?

    O GKE v0.2.0 na AWS ou mais recente já inclui o patch para essa vulnerabilidade. Se você estiver usando uma versão anterior, faça o download de uma nova versão da ferramenta de linha de comando anthos-gke e recrie seus clusters de gerenciamento e usuário.

    Qual vulnerabilidade é corrigida por esse patch?

    Esses patches mitigam a vulnerabilidade CVE-2020-8555. Ela é classificada como uma vulnerabilidade de gravidade média para o GKE, porque era difícil explorá-la já que havia várias medidas de aumento de proteção do plano de controle.

    Um invasor com permissões para criar um pod com determinados tipos de volume integrado (GlusterFS, Quobyte, StorageFS e ScaleIO) ou permissões para criar um StorageClass pode fazer com que kube-controller-manager crie solicitações GET ou POST sem um corpo de solicitação controlado pelo invasor na rede do host do mestre. Esses tipos de volume raramente são usados no GKE, então uma nova utilização deles pode ser um sinal útil para detectar problemas.

    Combinado com um meio de vazar os resultados de GET/POST para o invasor, como por meio de registros, essa vulnerabilidade pode levar à divulgação de informações confidenciais. Atualizamos os drivers de armazenamento em questão para remover a possibilidade desses vazamentos acontecerem.

    Média

    GCP-2020-006

    Publicado em: 01/062020
    Referência: problema 91507 do Kubernetes

    GKE;

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lidos ou modificado por essa invasão. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch, conforme detalhado a seguir.

    O que fazer?

    Para mitigar essa vulnerabilidade, faça o upgrade do seu plano de controle e dos seus nós para uma das versões com patch listadas a seguir. Os clusters nos canais de lançamento já estão executando uma versão com patch no plano de controle e nos nós:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Essa e outras capacidades poderosas deveriam estar bloqueadas por padrão PodSecurityPolicy ou o Policy Controller do Anthos:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou o Gatekeeper com este modelo de restrição e aplicando-o, por exemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Média

    os clusters do GKE no

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lidos ou modificado por essa invasão. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade, e recomendamos que você faça o upgrade para a versão mais recente do patch, como detalhamos a seguir.

    O que devo fazer?

    Para mitigar essa vulnerabilidade do GKE na VMware, faça upgrade dos clusters para a versão a seguir ou mais recente:
    • Anthos 1.3.2

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Esse e outros recursos avançados precisam ser bloqueados, por padrão, usando o Anthos Policy Controller ou atualizando as especificações de pod:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou o Gatekeeper com este modelo de restrição e aplicando-o, por exemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Média

    os clusters do GKE no

    Descrição Gravidade

    O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lidos ou modificado por essa invasão. Todos os nós do Google Kubernetes Engine (GKE) foram afetados por essa vulnerabilidade, e recomendamos que você faça o upgrade para a versão mais recente do patch, como detalhamos a seguir.

    O que devo fazer?

    Faça o download da ferramenta de linha de comando anthos-gke com a versão a seguir ou mais recente e recrie os clusters de gerenciamento e usuário:

    • aws-0.2.1-gke.7

    Em geral, pouquíssimos contêineres exigem CAP_NET_RAW. Esse e outros recursos avançados precisam ser bloqueados, por padrão, usando o Anthos Policy Controller ou atualizando as especificações de pod:

    Reduza a capacidade de CAP_NET_RAW dos contêineres com um dos seguintes métodos:

    • Aplique o bloqueio desses recursos com PodSecurityPolicy, por exemplo:
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Ou usando o Policy Controller ou o Gatekeeper com este modelo de restrição e aplicando-o, por exemplo:
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Ou ao atualizar as especificações do pod:
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Qual vulnerabilidade é corrigida por esse patch?

    O patch mitiga a seguinte vulnerabilidade:

    A vulnerabilidade descrita na capacidade CAP_NET_RAW do problema 91507 do Kubernetes (que está incluída no conjunto de capacidades de contêiner padrão) que envolve configurar de forma mal-intencionada a pilha do IPv6 no nó e redirecionar o tráfego do nó para o contêiner controlado pelo invasor. Isso permite que o invasor intercepte/modifique o tráfego que se origina do nó ou se destina a ele. O tráfego mútuo TLS/SSH, como entre o kubelet e o servidor da API, ou o tráfego de aplicativos que usam mTLS não pode ser lido ou modificado por essa invasão.

    Média

    GCP-2020-005

    Publicado em: 07/052020
    Atualizado em: 07/05/2020
    ReferênciaCVE-2020-8835

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-8835, permitindo que o escape de contêiner consiga privilégios raiz no nó host.

    Os nós do Ubuntu do Google Kubernetes Engine executando a versão 1.16 ou 1.17 do GKE foram afetados por essa vulnerabilidade. Recomendamos que você faça upgrade para a versão de patch mais recente assim que possível, conforme detalhado abaixo.

    Os nós executando o SO otimizado para contêineres não foram afetados. Os nós em execução no GKE no VMware não foram afetados.

    O que devo fazer?

    Para a maioria dos clientes, nenhuma outra ação é necessária. Apenas os nós executando o Ubuntu na versão 1.16 ou 1.17 do GKE foram afetados.

    Para fazer upgrade dos seus nós, primeiro você precisa fazer o upgrade do mestre para a versão mais recente. Esse patch será disponibilizado nestas versões do Kubernetes: 1.16.8-gke.12, 1.17.4-gke.10 e lançamentos posteriores. Acompanhe a disponibilidade dos patches nas notas de lançamento.

    Qual vulnerabilidade é corrigida por esse patch?

    O patch reduz os riscos da seguinte vulnerabilidade:

    A CVE-2020-8835 (em inglês) descreve uma vulnerabilidade na versão 5.5.0 e posteriores do kernel do Linux, que permite que um contêiner mal-intencionado (com interação mínima do usuário na forma de um exec) leia e grave na memória do kernel e consiga a execução do código no nível da raiz do nó do host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade.

    Alto

    GCP-2020-004

    Publicado em: 07/05/2020
    Atualizado em: 07-05-2020
    ReferênciaCVE-2019-11254

    os clusters do GKE no

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês).

    É possível atenuar essa vulnerabilidade limitando os clientes que têm acesso à rede aos servidores da API Kubernetes.

    O que devo fazer?

    Recomendamos que você faça upgrade dos seus clusters para corrigir as versões com a correção dessa vulnerabilidade assim que elas estiverem disponíveis.

    Veja abaixo as versões de patch que resolvem o problema:

    • Anthos 1.3.0, que executa o Kubernetes versão 1.15.7-gke.32

    Quais vulnerabilidades são corrigidas por esse patch?

    A de negação de serviço (DoS) a seguir:

    CVE-2019-11254.

    Média

    GCP-2020-003

    Publicado em: 31/03/2020
    Atualizado em: 31/03/2020
    ReferênciaCVE-2019-11254

    GKE;

    Descrição Gravidade

    Uma vulnerabilidade foi descoberta no Kubernetes recentemente, descrita em CVE-2019-11254 (em inglês). Ela permite que qualquer usuário autorizado a fazer solicitações POST execute um ataque remoto de negação de serviço em um servidor da API Kubernetes. O Comitê de Segurança de Produto (PSC, na sigla em inglês) do Kubernetes divulgou mais informações sobre essa vulnerabilidade. Para saber mais, acesse-as aqui (em inglês).

    Os clusters do GKE que usam redes mestras autorizadas e clusters privados sem endpoint público reduzem essa vulnerabilidade.

    O que devo fazer?

    Recomendamos que você faça upgrade do seu cluster para uma versão de patch com a correção dessa vulnerabilidade.

    Veja abaixo as versões de patch que resolvem o problema:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Quais vulnerabilidades são corrigidas por esse patch?

    A de negação de serviço (DoS) a seguir:

    CVE-2019-11254.

    Média

    GCP-2020-002

    Publicação: 23/03/2020
    Atualizado em: 23/03/2020
    Referência: CVE-2020-8551, CVE-2020-8552

    GKE;

    Descrição Gravidade

    O Kubernetes divulgou duas vulnerabilidades de negação de serviço (em inglês), uma com impacto no servidor de API e outra no Kubelets. Para mais detalhes, veja os seguintes problemas do Kubernetes: 89377 e 89378 (ambos em inglês).

    O que devo fazer?

    Todos os usuários do GKE estão protegidos contra a CVE-2020-8551, a menos que usuários que não sejam de confiança possam enviar solicitações dentro da rede interna dos clusters. Além disso, o uso das redes mestras autorizadas reduz a CVE-2020-8552.

    Quando essas vulnerabilidades serão corrigidas?

    Os patches para a CVE-2020-8551 exigem um upgrade de nó. Abaixo, as versões de patch que mitigam o problema:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Os patches para a CVE-2020-8552 exigem o upgrade de um mestre. Abaixo, as versões de patch que mitigam o problema:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Médio

    GCP-january_21_2020

    Publicado em: 21/01/2020
    Atualizado em: 24/01/2020
    ReferênciaCVE-2019-11254

    GKE;

    Descrição Gravidade

    Atualização de 24/01/2020: o processo de disponibilização de versões com patch está sendo realizado e será concluído em 25 de janeiro de 2020.


    A Microsoft divulgou uma vulnerabilidade na Windows CryptoAPI e em sua validação de assinaturas de curva elíptica. Para mais informações, consulte o anúncio da Microsoft.

    O que fazer?

    Para a maioria dos clientes, nenhuma outra ação é necessária. Somente os nós com Windows Server em execução são afetados.

    Nesse caso, para reduzir a vulnerabilidade, é necessário atualizar os nós e as cargas de trabalho em contêineres executadas neles para as versões com patch.

    Para atualizar os contêineres:

    É necessário recriá-los. Para isso, use as imagens de contêiner de base mais recentes da Microsoft selecionando uma tag de servercore ou nanoserver (páginas em inglês) que tenha o valor "1/14/2020" ou posterior em "LastUpdated Time".

    Para atualizar os nós:

    O processo de disponibilização de versões com patch está sendo realizado e será concluído em 24 de janeiro de 2020.

    Aguarde esse período e faça upgrade dos nós para uma versão com patch do GKE ou use o Windows Update para implantar manualmente o patch mais recente do Windows a qualquer momento.

    Abaixo, as versões de patch que incluem a mitigação:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Quais vulnerabilidades são corrigidas por esse patch?

    O patch reduz as vulnerabilidades a seguir:

    CVE-2020-0601: também conhecida como Vulnerabilidade de spoofing da Windows CryptoAPI. Usada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões TLS com o software afetado.

    Pontuação base do NVD: 8,1 (alta)

    Boletins de segurança arquivados

    Para boletins de segurança anteriores a 2020, consulte o Arquivo de boletins de segurança.