Corrections de failles

La mise à niveau d'un cluster vers la dernière version de Google Distributed Cloud offre des fonctionnalités et des correctifs supplémentaires à votre cluster. À chaque version du correctif, nous corrigeons de nombreuses failles de sécurité. Il est donc d'autant plus important de passer à la dernière version du correctif recommandée. La mise à niveau est une responsabilité partagée entre Google et le client. Pour en savoir plus sur les responsabilités partagées, consultez la page Modèle de responsabilité partagée.

Cette page est destinée aux spécialistes de la sécurité qui aident à résoudre les problèmes de sécurité ou les failles nécessitant une assistance stratégique, tels que les incidents et les problèmes transmis par l'assistance. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez Rôles utilisateur et tâches courantes de GKE.

Classement des failles

Les failles de sécurité sont généralement identifiées via le système Common Vulnerabilities and Exposures (CVE). L'équipe de sécurité GKE classe les failles en fonction du système de classement des failles Kubernetes. Les classifications tiennent compte de plusieurs facteurs, y compris de la configuration et du renforcement de la sécurité dans GKE et Google Distributed Cloud. En raison de ces facteurs et des investissements que Google Cloud réalise concernant la sécurité, les classements des failles peuvent différer des autres sources de classement.

Le tableau suivant décrit les catégories de gravité des failles :

Gravité	Description
Critique	Faille facilement exploitable dans tous les clusters par un pirate informatique non authentifié à distance, qui entraîne un piratage de l'intégralité du système.
Élevée	Faille facile à exploiter pour de nombreux clusters qui entraîne une perte de confidentialité, d'intégrité ou de disponibilité.
Moyenne	Une faille utilisable pour certains clusters où la perte de confidentialité, d'intégrité ou de disponibilité est limitée par des configurations courantes, la difficulté de l'exploitation elle-même, l'accès requis ou l'interaction utilisateur.
Faible	Toutes les autres failles. L'exploitation est peu probable, ou les conséquences de l'exploitation sont limitées.

Bulletins de sécurité

La plupart des failles sont corrigées dans les versions compatibles de Google Distributed Cloud avant de pouvoir être exploitées. Lorsque des incidents signalés sont susceptibles de compromettre la sécurité de vos clusters et de vos données, nous publions des bulletins de sécurité. Un bulletin de sécurité décrit le problème de sécurité ainsi que son impact, et propose une solution. Pour en savoir plus et obtenir la liste des bulletins publiés, consultez la page Bulletins de sécurité.

Lorsqu'un bulletin de sécurité est publié pour une faille qui affecte Google Distributed Cloud (logiciel uniquement) sur solution Bare Metal, nous publions une note de version correspondante avec un lien vers le bulletin.

Vulnérabilités corrigées par version du correctif Google Distributed Cloud

Le tableau suivant répertorie toutes les failles corrigées à partir de janvier 2025. Pour connaître les anciens correctifs, consultez les notes de version. Les correctifs du tableau suivant sont listés par version et gravité de Google Distributed Cloud :

Pour en savoir plus sur les correctifs et les modifications apportés à une version donnée, consultez les notes de version.