La mise à niveau d'un cluster vers la dernière version de Google Distributed Cloud offre des fonctionnalités et des correctifs supplémentaires à votre cluster. À chaque version de correctif, nous corrigeons de nombreuses failles de sécurité, ce qui rend la mise à niveau vers la dernière version de correctif recommandée d'autant plus importante. La mise à niveau est une responsabilité partagée entre Google et le client. Pour en savoir plus sur les responsabilités partagées, consultez le modèle de responsabilité partagée.
Cette page est destinée aux spécialistes de la sécurité qui aident à résoudre les problèmes de sécurité ou les failles nécessitant une assistance stratégique, tels que les incidents et les problèmes transmis par l'assistance. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez la section Rôles utilisateur et tâches courantes de l'utilisateur dans GKE Enterprise.
Classement des failles
Les failles de sécurité sont généralement identifiées via le système Common Vulnerabilities and Exposures (CVE). L'équipe de sécurité GKE Enterprise classe les failles en fonction du système de classement des failles Kubernetes. Les classifications tiennent compte de plusieurs facteurs, y compris de la configuration et du renforcement de la sécurité dans GKE, GKE Enterprise et Google Distributed Cloud. En raison de ces facteurs et des investissements que Google Cloudréalise concernant la sécurité, ces classifications des failles peuvent différer des autres sources de classification.
Le tableau suivant décrit les catégories de gravité des failles :
| Gravité | Description |
|---|---|
| Critique | Faille facilement exploitable dans tous les clusters par un pirate informatique non authentifié à distance, qui entraîne un piratage de l'intégralité du système. |
| Élevée | Faille facile à exploiter pour de nombreux clusters qui entraîne une perte de confidentialité, d'intégrité ou de disponibilité. |
| Moyenne | Une faille utilisable pour certains clusters où la perte de confidentialité, d'intégrité ou de disponibilité est limitée par des configurations courantes, la difficulté de l'exploitation elle-même, l'accès requis ou l'interaction utilisateur. |
| Faible | Toutes les autres failles. L'exploitation est peu probable, ou les conséquences de l'exploitation sont limitées. |
Bulletins de sécurité
La plupart des failles sont corrigées dans les versions compatibles de Google Distributed Cloud avant qu'elles ne puissent être exploitées. Lorsque des incidents sont signalés et susceptibles de compromettre la sécurité de vos clusters et de vos données, nous publions des bulletins de sécurité. Un bulletin de sécurité décrit le problème de sécurité ainsi que son impact, et propose une solution. Pour en savoir plus et obtenir la liste des bulletins publiés, consultez la page Bulletins de sécurité.
Lorsqu'un bulletin de sécurité est publié pour une faille qui affecte Google Distributed Cloud (logiciel uniquement) sur Bare Metal, nous publions une note de version correspondante avec un lien vers le bulletin.
Vulnérabilités corrigées par version de correctif Google Distributed Cloud
Le tableau suivant répertorie toutes les failles corrigées depuis janvier 2025. Pour obtenir les anciennes corrections, consultez les notes de version. Les correctifs du tableau suivant sont listés par version de Google Distributed Cloud et par gravité:
Pour en savoir plus sur les corrections et les modifications apportées à une version donnée, consultez les notes de version: