Semua buletin keamanan untuk produk berikut dijelaskan di halaman ini:
- Google Kubernetes Engine (GKE)
- GKE on VMware
- GKE on AWS
- GKE on Azure
- GKE on Bare Metal
Kerentanan sering dirahasiakan dengan embargo sampai pihak yang terdampak memiliki kesempatan untuk mengatasinya. Dalam hal ini, catatan rilis produk akan merujuk pada "update keamanan" hingga embargo dicabut. Pada tahap ini, catatan akan diperbarui untuk menunjukkan kerentanan yang dapat diatasi patch.
Saat GKE mengeluarkan buletin keamanan yang berkaitan langsung dengan konfigurasi atau versi cluster Anda, kami mungkin mengirimi Anda notifikasi cluster SecurityBulletinEvent
yang memberikan informasi tentang kerentanan dan tindakan yang dapat Anda lakukan, jika berlaku. Untuk mengetahui informasi tentang cara menyiapkan notifikasi cluster, baca Notifikasi cluster.
Untuk mengetahui informasi selengkapnya tentang cara Google mengelola patch dan kerentanan keamanan untuk GKE dan GKE Enterprise, lihat Patching keamanan.
Platform GKE dan GKE Enterprise tidak menggunakan komponen
seperti ingress-nginx
dan runtime container CRI-O, dan tidak terpengaruh
oleh kerentanan dalam komponen tersebut. Jika Anda menginstal komponen dari
sumber lain, lihat update keamanan dan saran patching komponen
tersebut di sumbernya.
Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini.
GCP-2024-024
Dipublikasikan: 25-04-2024
Referensi:
CVE-2024-26585
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-022
Dipublikasikan: 2024-04-03
Diperbarui: 2024-04-24
Referensi: CVE-2023-45288
Update 24-04-2024: Menambahkan versi patch untuk GKE.
GKE
Diperbarui: 24-04-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh. Cluster GKE Autopilot dan Standard terpengaruh. Apa yang harus saya lakukan?Update 24-04-2024: Menambahkan versi patch untuk GKE. Versi GKE berikut menyertakan patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:
Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini ketika versi GKE yang menggabungkan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Melakukan mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:Anda dapat memitigasi cluster dari jenis serangan ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke bidang kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan resmi yang diizinkan, lihat tabel di bagian Akses ke endpoint bidang kontrol. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang mengeksekusi serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di VMware yang menggabungkan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang mengeksekusi serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini ketika GKE di versi AWS yang menggabungkan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang mengeksekusi serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di versi Azure yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang mengeksekusi serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi Bare Metal yang menggabungkan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang mengeksekusi serangan DoS di bidang kontrol Kubernetes. |
Tinggi |
GCP-2024-018
Dipublikasikan: 2024-03-12
Diperbarui: 2024-04-04
Referensi:
CVE-2024-1085
Update 04-04-2024: Versi minimum untuk kumpulan node OS yang Dioptimalkan untuk Container Container GKE telah dikoreksi.
GKE
Diperbarui: 04-04-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 04-04-2024: Versi minimum yang dikoreksi untuk kumpulan node OS yang Dioptimalkan untuk GKE Container-Optimized. Versi GKE minimum yang berisi perbaikan Container-Optimized OS yang tercantum sebelumnya salah. Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini pada Container-Optimized OS. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-017
Dipublikasikan: 06-03-2024
Referensi:
CVE-2023-3611
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-014
Dipublikasikan: 26-02-2024
Referensi:
CVE-2023-3776
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-013
Dipublikasikan: 23-02-2024
Referensi:
CVE-2023-3610
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-012
Dipublikasikan: 20-02-2024
Referensi:
CVE-2024-0193
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-011
Dipublikasikan: 15-02-2024
Referensi:
CVE-2023-6932
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-010
Dipublikasikan: 2024-02-14
Diperbarui: 2024-04-17
Referensi:
CVE-2023-6931
Update 17-04-2024: Menambahkan versi patch untuk GKE di VMware.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 17-04-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Update 17-04-2024: Menambahkan versi patch untuk GKE di VMware. Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
|
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-008
Dipublikasikan: 12-02-2024
Referensi: CVE-2023-5528
GKE
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. Cluster GKE Standard yang menjalankan node Windows Server dan menggunakan plugin in-tree storage mungkin terpengaruh. Cluster GKE Autopilot dan node pool GKE yang menggunakan GKE Sandbox tidak terpengaruh karena tidak mendukung node Windows Server. Apa yang harus saya lakukan?Tentukan apakah Anda memiliki node Windows Server yang digunakan pada cluster: kubectl get nodes -l kubernetes.io/os=windows Periksa log audit untuk mengetahui bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi atau tidak. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat dari eksploitasi. Update cluster GKE dan node pool ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade kumpulan node cluster dan Windows Server secara manual ke salah satu versi GKE berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. Cluster GKE di VMware yang menjalankan node Windows Server dan menggunakan plugin in-tree storage mungkin akan terpengaruh. Apa yang harus saya lakukan?Tentukan apakah Anda memiliki node Windows Server yang digunakan pada cluster: kubectl get nodes -l kubernetes.io/os=windows Periksa log audit untuk mengetahui bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi atau tidak. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat dari eksploitasi. Update GKE Anda di cluster VMware dan node pool ke versi yang di-patch. Versi GKE di VMware berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade kumpulan node cluster dan Windows Server secara manual ke salah satu versi GKE di VMware berikut atau yang lebih baru:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. GKE pada cluster AWS tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. GKE pada cluster Azure tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut. GKE pada cluster Bare Metal tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GCP-2024-005
Dipublikasikan: 2024-01-31
Diperbarui: 2024-04-02
Referensi: CVE-2024-21626
Update 02-04-2024: Menambahkan versi patch untuk GKE di Bare Metal
Update 06-03-2024: Penambahan versi patch untuk GKE di VMware
Update 28-02-2024: Penambahan versi patch untuk Ubuntu
Update 15-02-2024: Memperjelas bahwa update 1.26-03-06 node20
Update 14-02-2024: Penambahan versi patch untuk Ubuntu
Update 06-02-2024: Menambahkan versi patch untuk Container-Optimized OS.
GKE
Diperbarui: 06-03-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 28-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Update 15-02-2024: Karena terjadi masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak responsif. Jangan upgrade ke versi patch berikut. Kami akan memperbarui buletin ini ketika versi patch yang lebih baru untuk Ubuntu tersedia untuk 1.25 dan 1.26.
Jika Anda sudah mengupgrade ke salah satu versi patch ini, downgrade secara manual kumpulan node Anda ke versi sebelumnya di saluran rilis. Update 14-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Update 06-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Untuk tujuan keamanan, meskipun jika upgrade otomatis node diaktifkan, sebaiknya Anda mengupgrade kumpulan node cluster dan Container-Optimized OS secara manual ke salah satu versi GKE berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. Kami mengupdate GKE dengan kode untuk memperbaiki kerentanan ini. Kami akan memperbarui buletin ini saat versi patch tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on VMware
Diperbarui: 06-03-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-03-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
Versi patch dan penilaian tingkat keparahan untuk GKE di VMware sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on Bare Metal
Diperbarui: 2024-04-02
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 02-04-2024: Versi GKE di Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
Versi patch dan penilaian tingkat keparahan untuk GKE di Bare Metal sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GCP-2024-004
Dipublikasikan: 2024-01-24
Diperbarui: 2024-02-07
Referensi:
CVE-2023-6817
Update 07-02-2024: Menambahkan versi patch untuk Ubuntu.
GKE
Diperbarui: 07-02-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 07-02-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-003
Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024
26-01-2024 Update: Mengklarifikasi jumlah cluster yang terpengaruh dan tindakan yang
kami lakukan untuk membantu mengurangi dampaknya.
GKE
Diperbarui: 26-01-2024
Deskripsi | Tingkat keparahan |
---|---|
Update 26-01-2024: Riset keamanan yang menemukan sejumlah kecil
cluster GKE dengan kesalahan konfigurasi buatan pelanggan yang melibatkan
grup Kami telah mengidentifikasi beberapa cluster tempat pengguna memberikan hak istimewa Kubernetes ke grup Baru-baru ini, seorang peneliti keamanan melaporkan temuan cluster dengan kesalahan konfigurasi RBAC melalui program pelaporan kerentanan kami. Pendekatan Google terhadap autentikasi adalah menjadikan autentikasi ke Google Cloud dan GKE sesederhana dan seaman mungkin tanpa perlu menambahkan langkah-langkah konfigurasi yang kompleks.
Authentication hanya memberi tahu kita siapa penggunanya; Otorisasi adalah tempat akses ditentukan. Jadi, grup Dengan mempertimbangkan hal ini, kami telah mengambil beberapa langkah untuk mengurangi risiko pengguna melakukan error otorisasi pada pengguna dan grup bawaan Kubernetes, termasuk Untuk melindungi pengguna dari kesalahan otorisasi yang tidak disengaja pada pengguna/grup sistem ini, kami telah:
Cluster yang menerapkan pembatasan jaringan
yang diizinkan memiliki lapisan pertahanan pertama: tidak dapat diserang
secara langsung dari Internet. Namun, sebaiknya hapus binding ini untuk
mendapatkan pertahanan mendalam dan mencegah error dalam kontrol jaringan. Kami terus menyelidiki cara untuk memberikan perlindungan lebih terhadap kesalahan konfigurasi RBAC pengguna dengan pengguna/grup sistem ini melalui pencegahan dan deteksi. Apa yang harus saya lakukan?Untuk mencegah binding baru dari Binding yang ada harus ditinjau dengan mengikuti panduan ini. |
Sedang |
GKE on VMware
Tidak ada pembaruan saat ini.
GKE on AWS
Tidak ada pembaruan saat ini.
GKE on Azure
Tidak ada pembaruan saat ini.
GKE on Bare Metal
Tidak ada pembaruan saat ini.
GCP-2024-002
Dipublikasikan: 2024-01-17
Diperbarui: 2024-02-20
Referensi:
CVE-2023-6111
Update 20-02-2024: Menambahkan versi patch untuk GKE di VMware.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 20-02-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan?Update 20-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100 |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-051
Dipublikasikan: 28-12-2023
Referensi:
CVE-2023-3609
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-050
Dipublikasikan: 27-12-2023
Referensi:
CVE-2023-3389
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-049
Dipublikasikan: 20-12-2023
Referensi:
CVE-2023-3090
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Cluster GKE Standard terpengaruh. Cluster
Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin
rentan jika Anda secara eksplisit menetapkan profil Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-048
Dipublikasikan: 2023-12-15
Diperbarui: 2023-12-21
Referensi:
CVE-2023-3390
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-047
Dipublikasikan: 14-12-2023
GKE
Deskripsi | Tingkat keparahan |
---|---|
Penyerang yang telah membobol container logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Anthos Service Mesh (pada cluster yang telah mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah pada Fluent Bit dan Anthos Service Mesh telah dimitigasi dan perbaikan kini tersedia. Kerentanan ini tidak dapat dieksploitasi sendiri di GKE dan memerlukan penyusupan awal. Kami tidak mengetahui adanya contoh eksploitasi kerentanan ini. Masalah ini dilaporkan melalui Program Reward Kerentanan kami. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Fluent Bit dan untuk pengguna Anthos Service Mesh terkelola. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut atau yang lebih baru:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis spesifik Anda Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Kerentanan apa yang ditangani oleh patch ini? Kerentanan yang diatasi buletin ini mengharuskan penyerang menyusupi container logging Fluent Bit. Kami tidak mengetahui adanya kerentanan yang ada di Fluent Bit yang akan menyebabkan kondisi prasyarat untuk eskalasi hak istimewa ini. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh pada masa mendatang GKE menggunakan Fluent Bit untuk memproses log untuk beban kerja yang berjalan di cluster. Fluent Bit di GKE juga telah dikonfigurasi untuk mengumpulkan log untuk workload Cloud Run. Pemasangan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Fluent Bit akses ke token akun layanan Kubernetes untuk Pod lain yang berjalan pada node tersebut. Peneliti menggunakan akses ini untuk menemukan token akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Anthos Service Mesh. Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster Kami telah menghapus akses Fluent Bit ke token akun layanan dan telah mendesain ulang fungsi Anthos Service Mesh untuk menghapus hak istimewa berlebih. |
Sedang |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Hanya cluster GKE di VMware yang menggunakan Anthos Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang diatasi buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening guna mencegah potensi rantai serangan penuh di masa mendatang. Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsionalitas Anthos Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Hanya GKE pada cluster AWS yang menggunakan Anthos Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang diatasi buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh di masa mendatang. Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsionalitas Anthos Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Hanya GKE di cluster Azure yang menggunakan Anthos Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang diatasi buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh di masa mendatang. Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsionalitas Anthos Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Hanya GKE pada cluster Bare Metal yang menggunakan Anthos Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Anthos Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang diatasi buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak mengetahui adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh di masa mendatang. Anthos Service Mesh memerlukan hak istimewa yang tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Anthos Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang disusupi dengan membuat pod baru dengan hak istimewa admin cluster. Kami telah mendesain ulang fungsionalitas Anthos Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GCP-2023-046
Dipublikasikan: 2023-11-22
Diperbarui: 2024-03-04
Referensi:
CVE-2023-5717
Update 04-03-2024: Menambahkan versi GKE untuk GKE di VMware.
Update 22-01-2024: Menambahkan versi patch Ubuntu.
GKE
Diperbarui: 22-01-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 22-01-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 29-02-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Update 04-03-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
|
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-045
Dipublikasikan: 2023-11-20
Diperbarui: 2023-12-21
Referensi:
CVE-2023-5197
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-042
Dipublikasikan: 2023-11-13
Diperbarui: 2023-11-15
Referensi:
CVE-2023-4147
Update 15-11-2023: Klarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch dan sesuai dengan GKE.
GKE
Diperbarui: 15-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot tidak terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang di-patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node Anda. Misalnya, jika menggunakan GKE versi 1.27, Anda harus mengupgradenya ke versi yang di-patch terkait. Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu mengupgrade ke versi yang di-patch. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi yang di-patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-041
Dipublikasikan: 2023-11-08
Diperbarui: 2023-11-21, 2023-12-05, 2023-12-21
Referensi:
CVE-2023-4004
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 05-12-2023: Menambahkan versi GKE tambahan untuk kumpulan node OS yang Dioptimalkan untuk Container.
Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar versi GKE terbaru yang dapat Anda update dengan Container-Optimized OS:
Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-040
Dipublikasikan: 2023-11-06
Diperbarui: 2023-11-21, 2023-12-21
Referensi:
CVE-2023-4921
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-039
Dipublikasikan: 2023-11-06
Diperbarui: 2023-11-21, 2023-11-16
Referensi:
CVE-2023-4622
Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.
Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan dalam buletin keamanan versi sebelumnya.
GKE
Diperbarui: 21-11-2023, 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Cluster autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Diperbarui: 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Diperbarui: 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Diperbarui: 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Diperbarui: 16-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-038
Dipublikasikan: 2023-11-06
Diperbarui: 2023-11-21, 2023-12-21
Referensi:
CVE-2023-4623
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-037
Dipublikasikan: 2023-11-06
Diperbarui: 2023-11-21, 2023-12-21
Referensi:
CVE-2023-4015
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Dalam proses |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-035
Dipublikasikan: 2023-10-26
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
Tinggi |
GCP-2023-033
Dipublikasikan: 2023-10-24
Diperbarui: 2023-11-21, 2023-12-21
Referensi:
CVE-2023-3777
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.
Update 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox akan terkena dampak. Apa yang harus saya lakukan?Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node Anda. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:
Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan? |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya. |
GCP-2023-030
Dipublikasikan: 2023-10-10
Diperbarui: 2024-03-20
Referensi: CVE-2023-44487CVE-2023-39325
Update 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure
Update 14-02-2024: Menambahkan versi patch
untuk GKE di VMware
Update 09-11-2023: Menambahkan CVE-2023-39325. Update versi GKE
dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.
GKE
Diperbarui: 09-11-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh. Apa yang harus saya lakukan?Update 09-11-2023: Kami telah merilis versi baru GKE yang mencakup patch keamanan Go dan Kubernetes, yang dapat Anda gunakan untuk mengupdate cluster hingga saat ini. Dalam beberapa minggu mendatang, kami akan merilis perubahan tambahan pada bidang kontrol GKE untuk lebih memitigasi masalah ini. Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:
Sebaiknya Anda menerapkan mitigasi berikut sesegera mungkin dan mengupgrade ke versi terbaru yang di-patch jika tersedia. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang harus diupgrade dari bidang kontrol Anda, dan juga membuat patch terlihat dalam postur keamanan GKE saat tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, aktifkan notifikasi cluster. Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Kurangi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol: Anda dapat menambahkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut, lihat jaringan yang diizinkan untuk cluster yang ada. Selain jaringan resmi yang Anda tambahkan, ada alamat IP preset yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint bidang kontrol. Item berikut meringkas isolasi cluster:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol GKE. |
Tinggi |
GKE on VMware
Diperbarui: 14-02-2024
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan dapat menyebabkan DoS bidang kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang tidak dapat diakses langsung ke Internet secara default dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 14-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi patch berikut atau yang lebih baru:
Jika Anda telah mengonfigurasi GKE pada cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang akan menjadi tujuan upgrade bidang kontrol Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan dapat menyebabkan DoS bidang kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang tidak dapat diakses langsung ke Internet secara default dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 20-03-2024: GKE pada versi AWS berikut telah diupdate dengan patch untuk CVE-2023-44487:
Jika Anda telah mengonfigurasi GKE di AWS agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang akan menjadi tujuan upgrade bidang kontrol Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan dapat menyebabkan DoS bidang kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang tidak dapat diakses langsung ke Internet secara default dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 20-03-2024: GKE pada versi Azure berikut telah diupdate dengan patch untuk CVE-2023-44487:
Jika Anda telah mengonfigurasi GKE pada cluster Azure agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang akan menjadi tujuan upgrade bidang kontrol Anda.Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan dapat menyebabkan DoS bidang kontrol Kubernetes. Anthos di Bare Metal membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini. Apa yang harus saya lakukan?Jika Anda telah mengonfigurasi Anthos pada cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE di Bare Metal. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kami akan mem-build dan mengkualifikasi server Kubernetes API baru dengan patch tersebut dan membuat rilis yang di-patch GKE. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang akan menjadi tujuan upgrade bidang kontrol Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan CVE-2023-44487 memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol Kubernetes. |
Tinggi |
GCP-2023-026
Dipublikasikan: 06-09-2023
Referensi: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI. Cluster GKE hanya akan terpengaruh jika menyertakan node Windows. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Bidang kontrol GKE akan diupdate pada 04-09-2023 untuk mengupdate csi-proxy ke versi 1.1.3. Jika mengupdate node sebelum update bidang kontrol, Anda harus mengupdate node lagi setelah update dilakukan untuk memanfaatkan proxy baru. Anda dapat mengupdate node lagi, bahkan tanpa mengubah versi node, dengan menjalankan perintah Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis spesifik Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan meneruskan string jalur yang dibuat ini ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian string tersebut sebagai perintah terpisah. Perintah-perintah ini akan dijalankan dengan hak istimewa administratif yang sama seperti Kubelet. Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin hak istimewa. Pada CVE-2023-3893, kurangnya sanitasi input yang serupa memungkinkan pengguna yang dapat membuat Pod pada node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut. Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell yang tersemat merupakan indikasi kuat terjadinya eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell tersemat dan terpasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI. Cluster hanya akan terpengaruh jika menyertakan node Windows. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan meneruskan string jalur yang dibuat ini ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian string tersebut sebagai perintah terpisah. Perintah-perintah ini akan dijalankan dengan hak istimewa administratif yang sama seperti Kubelet. Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin hak istimewa. Pada CVE-2023-3893, kurangnya sanitasi input yang serupa memungkinkan pengguna yang dapat membuat Pod pada node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut. Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell yang tersemat merupakan indikasi kuat terjadinya eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell tersemat dan terpasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI. Apa yang harus saya lakukan?GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-018
Dipublikasikan: 27-06-2023
Referensi: CVE-2023-2235
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node OS yang Dioptimalkan untuk Container. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node OS yang Dioptimalkan untuk Container akan terpengaruh. Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum versi 1.25, atau menggunakan GKE Sandbox. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara kandung peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan pemanggilan list_del_event() sebelum melepaskan diri dari grup, sehingga memungkinkan penggunaan pointer menggantung yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE pada VMware terpengaruh. Apa yang harus saya lakukan?Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara kandung peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan pemanggilan list_del_event() sebelum melepaskan diri dari grup, sehingga memungkinkan penggunaan pointer menggantung yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara kandung peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan pemanggilan list_del_event() sebelum melepaskan diri dari grup, sehingga memungkinkan penggunaan pointer menggantung yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa Attach_state saudara kandung peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan pemanggilan list_del_event() sebelum melepaskan diri dari grup, sehingga memungkinkan penggunaan pointer menggantung yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-017
Dipublikasikan: 26-06-2023
Diperbarui: 2023-07-11
Referensi: CVE-2023-31436
Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-31436.
GKE
Diperbarui: 11-07-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 11-07-2023: Versi patch Ubuntu tersedia. Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-31436:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-31436, cacat akses memori di luar batas ditemukan di subsistem kontrol lalu lintas kernel Linux (QoS) dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE pada VMware terpengaruh. Apa yang harus saya lakukan?Kerentanan apa yang sedang ditangani?Dengan CVE-2023-31436, cacat akses memori di luar batas ditemukan di subsistem kontrol lalu lintas kernel Linux (QoS) dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-31436, cacat akses memori di luar batas ditemukan di subsistem kontrol lalu lintas kernel Linux (QoS) dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-31436, cacat akses memori di luar batas ditemukan di subsistem kontrol lalu lintas kernel Linux (QoS) dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-016
Dipublikasikan: 26-06-2023
Referensi:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
13492,
1349202
2349
CVE-2023-27488CVE-2023-27487
GKE
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Anthos Service Mesh (ASM). Hal ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE tidak diluncurkan dengan ASM dan tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002. |
Tidak ada |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27488, dapat menyebabkan error di GKE Service, ditemukan di Envoy di Anthos, Ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth diaktifkan, pelaku kejahatan dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error. CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan. CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti sertifikat pembanding SAN. CVE-2023-27492: Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error. CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu error penguraian pada layanan upstream HTTP/1.
CVE-2023-27487: Header |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, digunakan di Envoy Service, telah ditemukan di Envoy Service, Hal ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE pada AWS tidak dikirimkan dengan ASM dan tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, digunakan di Envoy Service, telah ditemukan di Envoy Service, Hal ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE di Azure tidak dikirimkan dengan ASM dan tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, berbahaya dari Mevoy, dapat digunakan di Envoy Mevoy, Ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM. Apa yang harus saya lakukan?Versi GKE berikut di Bare Metal telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna ke salah satu GKE pada versi Bare Metal berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth diaktifkan, pelaku kejahatan dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error. CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan. CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti sertifikat pembanding SAN. CVE-2023-27492: Penyerang dapat mengirim isi permintaan berukuran besar untuk rute yang mengaktifkan filter Lua dan memicu error. CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu error penguraian pada layanan upstream HTTP/1.
CVE-2023-27487: Header |
Tinggi |
GCP-2023-015
Dipublikasikan: 20-06-2023
Referensi: CVE-2023-0468
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Kerentanan apa yang sedang ditangani?Di CVE-2023-0468, cacat use-after-free ditemukan di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Cacat ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi membuat sistem error yang mengarah ke denial of service. |
Sedang |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node. GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node. GKE pada AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node. GKE di Azure tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan penolakan layanan pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GCP-2023-014
Dipublikasikan: 15-06-2023
Diperbarui: 2023-08-11
Referensi: CVE-2023-2727, CVE-2023-2728
Update 11-08-2023: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan GKE di Bare Metal
GKE
Deskripsi | Tingkat keparahan |
---|---|
Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728). GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727. Semua versi GKE berpotensi rentan terhadap CVE-2023-2728.Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on VMware
Diperbarui: 11-08-2023
Deskripsi | Tingkat keparahan |
---|---|
Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728). Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727. Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728. Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster pengguna dan admin Anda ke salah satu GKE di versi VMware berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on AWS
Diperbarui: 11-08-2023
Deskripsi | Tingkat keparahan |
---|---|
Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE di versi AWS berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on Azure
Diperbarui: 11-08-2023
Deskripsi | Tingkat keparahan |
---|---|
Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Update 11-08-2023: Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE berikut di versi Azure:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on Bare Metal
Diperbarui: 11-08-2023
Deskripsi | Tingkat keparahan |
---|---|
Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan penampung efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin akses ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Update 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan penampung menggunakan gambar yang dibatasi oleh ImagePolicyWebhook saat menggunakan penampung sementara. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama. Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin akses ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat merujuk ke secret yang ditentukan dalam kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:
|
Sedang |
GCP-2023-009
Dipublikasikan: 06-06-2023
Referensi: CVE-2023-2878
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v. |
Tidak ada |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE di VMware tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE di VMware tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, sebaiknya update penginstalan Anda dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v. |
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE pada AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE di AWS tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE di Azure tidak terpengaruh oleh CVE ini Apa yang harus saya lakukan?Meskipun GKE di Azure tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE pada Bare Metal tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, sebaiknya update penginstalan Anda dengan versi yang di-patch Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver di mana seorang aktor dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian berpotensi ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat ketika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau lebih tinggi melalui flag -v. |
Tidak ada |
GCP-2023-008
Dipublikasikan: 05-06-2023
Referensi: CVE-2023-1872
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring dari kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring dari kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini: Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring dari kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini: Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring dari kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2023-005
Dipublikasikan: 18-05-2023
Diperbarui: 2023-06-06
Referensi: CVE-2023-1281, CVE-2023-1829
Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829.
GKE
Diperbarui: 06-06-2023
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard terpengaruh. Cluster dan cluster GKE Autopilot yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 06-06-2023: Versi patch Ubuntu tersedia. Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol lalu lintas Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak benar menonaktifkan filter dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan ganda pada struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di Linux Kernel traffic control index filter (tcindex) Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak benar menonaktifkan filter dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan ganda pada struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di Linux Kernel traffic control index filter (tcindex) Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak benar menonaktifkan filter dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan ganda pada struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di Linux Kernel traffic control index filter (tcindex) Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak benar menonaktifkan filter dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan ganda pada struktur data. Di CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan use-after-free saat |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2023-003
Dipublikasikan: 2023-04-11
Diperbarui: 2023-12-21
Referensi: CVE-2023-0240,
CVE-2023-23586
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. Cluster GKE, termasuk cluster Autopilot, dengan COS yang menggunakan Kernel Linux versi 5.10 hingga 5.10.162 akan terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan 1 (CVE-2023-0240): Kondisi race di Kerentanan 2 (CVE-2023-23586): Penggunaan setelah bebas (UAF) di |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. Cluster GKE pada VMware dengan COS yang menggunakan Kernel Linux versi 5.10 hingga 5.10.162 terpengaruh. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak akan terpengaruh. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan 1 (CVE-2023-0240): Kondisi race di Kerentanan 2 (CVE-2023-23586): Penggunaan setelah bebas (UAF) di |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. GKE di Azure tidak terpengaruh oleh CVE ini Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasikan hak istimewa. GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2023-001
Dipublikasikan: 2023-03-01
Diperbarui: 2023-12-21
Referensi: CVE-2022-4696
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi hak istimewa lokal. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di VMware yang menjalankan v1.12 dan v1.13 akan terkena dampak. GKE pada VMware yang menjalankan v1.14 atau yang lebih baru tidak akan terpengaruh. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi hak istimewa lokal. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di Azure tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2022-026
Dipublikasikan: 11-01-2023
Referensi: CVE-2022-3786, CVE-2022-3602
GKE
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Meskipun telah mendapat rating Tinggi dalam database NVD, endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga ratingnya diturunkan menjadi Medium untuk GKE. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3786 dan CVE-2022-3602, kelebihan buffer dapat dipicu dalam verifikasi sertifikat X.509 yang dapat menyebabkan error yang akan mengakibatkan denial of service. Agar dapat dieksploitasi, kerentanan ini mengharuskan CA untuk menandatangani sertifikat berbahaya atau agar aplikasi dapat melanjutkan verifikasi sertifikat meskipun gagal membuat jalur ke penerbit tepercaya. |
Sedang |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2022-025
Dipublikasikan: 2022-12-21
Diperbarui: 2023-01-19, 2023-12-21
Referensi: CVE-2022-2602
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
GKE
Diperbarui: 19-01-2023
Deskripsi | Tingkat keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual node pool ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah memori soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakan serangan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. GKE pada VMware versi 1.11, 1.12, dan 1.13 terpengaruh. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah memori soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakan serangan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Apa yang harus saya lakukan?Versi GKE di AWS saat ini dan sebelumnya telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah memori soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakan serangan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Apa yang harus saya lakukan?Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi Azure berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pembersihan sampah memori soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakan serangan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan dalam subsistem io_uring di kernel Linux yang memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2022-024
Dipublikasikan: 2022-11-09
Diperbarui: 2023-01-19
Referensi: CVE-2022-2585, CVE-2022-2588
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
Update 16-12-2022: Menambahkan versi patch yang direvisi untuk GKE dan
GKE di VMware.
GKE
Diperbarui: 19-01-2023
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Update 16-12-2022: Buletin versi sebelumnya telah direvisi karena regresi rilis. Harap upgrade secara manual node pool Anda ke salah satu versi GKE berikut:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia. Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on VMware
Diperbarui: 16-12-2022
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node. GKE pada VMware versi 1.13, 1.12, dan 1.11 terpengaruh. Apa yang harus saya lakukan?Update 16-12-2022: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node. Versi Kubernetes di AWS berikut mungkin terpengaruh:
Kubernetes V1.24 tidak terpengaruh. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free bergantung pada bagaimana timer dibuat dan dihapus. Dengan CVE-2022-2588, cacat use-after-free ditemukan di route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal menyebabkan error pada sistem dan mungkin menyebabkan eskalasi hak istimewa lokal. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node. Versi Kubernetes di Azure berikut ini mungkin terpengaruh:
Kubernetes V1.24 tidak terpengaruh. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free bergantung pada bagaimana timer dibuat dan dihapus. Dengan CVE-2022-2588, cacat use-after-free ditemukan di route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal menyebabkan error pada sistem dan mungkin menyebabkan eskalasi hak istimewa lokal. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node. GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. |
Tidak ada |
GCP-2022-023
Dipublikasikan: 04-11-2022
Referensi: CVE-2022-39278
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol. Apa yang harus saya lakukan?Google Kubernetes Engine (GKE) tidak kompatibel dengan Istio dan tidak terpengaruh oleh kerentanan ini. Namun, jika Anda telah menginstal Anthos Service Mesh atau Istio secara terpisah di cluster GKE, lihat GCP-2022-020, buletin keamanan Anthos Service Mesh di CVE ini, untuk mengetahui informasi selengkapnya. |
Tidak ada |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh di GKE pada VMware, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio. Apa yang harus saya lakukan?Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio. Apa yang harus saya lakukan?Versi GKE berikut di Bare Metal telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster ke salah satu GKE pada versi Bare Metal berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, |
Tinggi |
GCP-2022-022-updated
Dipublikasikan: 08-12-2022
Referensi: CVE-2022-20409
GKE
Diperbarui: 14-12-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Cluster Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 93 dan 97 juga terkena dampak. Versi GKE lain yang didukung tidak akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Update 14-12-2022: Versi buletin versi sebelumnya telah direvisi karena regresi rilis. Harap upgrade secara manual node pool Anda ke salah satu versi GKE berikut:
Versi GKE berikut yang menggunakan Container-Optimized OS versi 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tinggi |
GKE on VMware
Diperbarui: 14-12-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Apa yang harus saya lakukan?Update 14-12-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan pada io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial of service (error sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Apa yang harus saya lakukan?
|
Tidak ada |
GCP-2022-021
Dipublikasikan: 2022-10-27
Diperbarui: 2023-01-19, 2023-12-21
Referensi: CVE-2022-3176
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
Update 15-12-2022: Informasi terbaru bahwa Google Kubernetes Engine versi 1.21.14-gke.9400
menunggu peluncuran dan mungkin digantikan oleh nomor versi yang lebih tinggi.
Update 21-11-2022: Menambahkan versi patch untuk
GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 19-01-2023, 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster Google Kubernetes Engine (GKE) v1.21, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 89 akan terkena dampak. Versi GKE yang lebih baru tidak akan terpengaruh. Semua cluster Linux dengan Ubuntu akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru. Update 15-12-2022: Versi 1.21.14-gke.9400 menunggu peluncuran dan mungkin digantikan oleh nomor versi yang lebih tinggi. Kami akan memperbarui dokumen ini saat versi baru tersebut tersedia. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual node pool ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Tidak adanya penanganan POLLFREE dapat menyebabkan eksploit Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa. |
Tinggi |
GKE on VMware
Diperbarui: 21-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Apa yang harus saya lakukan?
Update 21-11-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:
Versi GKE di VMware yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Tidak adanya penanganan POLLFREE dapat menyebabkan eksploit Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa. |
Tinggi |
GKE on AWS
Diperbarui: 21-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Apa yang harus saya lakukan?Update 21-11-2022: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut: Generasi saat ini
Versi GKE di AWS yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat GKE di versi AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Tidak adanya penanganan POLLFREE dapat menyebabkan eksploit Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa. |
Tinggi |
GKE on Azure
Diperbarui: 21-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Apa yang harus saya lakukan?Update 21-11-2022: Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi Azure berikut:
Versi GKE di Azure yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui setelah versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Tidak adanya penanganan POLLFREE dapat menyebabkan eksploit Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa. |
Tinggi |
GKE on Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun. GKE pada Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-018
Dipublikasikan: 2022-08-01
Diperbarui: 2022-09-14, 2023-12-21
Referensi: CVE-2022-2327
Update 21-12-2023: Memperjelas bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Update 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 21-12-2023
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Detail teknisPembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terdampak, tetapi ini tidak tepat. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
secara eksplisit menetapkan profil seccomp Unconfined atau
mengizinkan Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS (COS) yang menggunakan Kernel Linux versi 5.10 akan terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Upgrade cluster GKE Anda ke versi yang menyertakan perbaikan.
Image node Linux untuk COS telah diperbarui beserta versi GKE
yang menggunakan versi COS tersebut.
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari sebuah channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (tanda). Menggunakan permintaan ini tanpa jenis item tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root. |
Tinggi |
GKE on VMware
Diperbarui: 14-09-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Cluster dengan image Container Optimized OS (COS) yang menggunakan GKE pada VMware versi 1.10, 1.11, dan 1.12 terpengaruh. Apa yang harus saya lakukan?Update 14-09-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.
Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diupdate saat versi GKE di VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (tanda). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root. |
Tinggi |
GKE on AWS
Diperbarui: 14-09-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Apa yang harus saya lakukan?Update 14-09-2022: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut: Pembuatan saat ini
Generasi sebelumnya
Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (tanda). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root. |
Tinggi |
GKE on Azure
Diperbarui: 14-09-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Apa yang harus saya lakukan?Update 14-09-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi Azure berikut:
Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui setelah versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux di versi 5.10 memiliki kerentanan di subsistem io_uring di mana berbagai permintaan tidak memiliki jenis item (tanda). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-017
Dipublikasikan: 29-06-2022
Diperbarui: 2022-11-22
Referensi: CVE-2022-1786
Pembaruan 2022-11-22: Informasi terbaru tentang beban kerja menggunakan GKE Sandbox.
Update 21-07-2022: Informasi terbaru yang terpengaruh oleh image GKE
pada VMware COS.
GKE
Diperbarui: 22-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 22-11-2022: Beban kerja yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut. Hanya cluster yang menjalankan Container-Optimized OS yang terpengaruh. GKE Ubuntu versi menggunakan kernel versi 5.4 atau 5.15 dan tidak akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk Container-Optimized OS bagi versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade kumpulan node secara manual ke salah satu versi GKE mendatang berikut:
Fitur saluran rilis terbaru memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Pada CVE-2022-1786, cacat use-after-free ditemukan di subsistem io_uring kernel Linux. Jika pengguna menyiapkan lingkaran dengan IORING_SETUP_IOPOLL yang berisi lebih dari satu tugas untuk menyelesaikan pengiriman pada lingkaran tersebut, pengguna lokal dapat mengalami error atau mengeskalasikan hak istimewanya di sistem. |
Tinggi |
GKE on VMware
Diperbarui: 14-07-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut. Apa yang harus saya lakukan?Update 21-07-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini. COS
UbuntuAnda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-016
Dipublikasikan: 23-06-2022
Diperbarui: 2022-11-22
Referensi: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
2022-11-22 update workload di Autopilot:
Pembaruan 29-07-2022: Versi terbaru untuk GKE di VMware,
GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 22-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 2022-11-22: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116. Update 29-07-2022: Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Semua cluster Linux (Container-Optimized OS dan Ubuntu) akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk Container-Optimized OS dan Ubuntu untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux di versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam batas waktu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasikan hak istimewa ke root. |
Tinggi |
GKE on VMware
Diperbarui: 29-07-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 29-07-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.
Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Kerentanan ini memengaruhi GKE pada VMware v1.9 dan yang lebih baru untuk image Container-Optimized OS dan Ubuntu. Apa yang harus saya lakukan?Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diupdate saat versi GKE di VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux di versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam batas waktu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasikan hak istimewa ke root. |
Tinggi |
GKE on AWS
Diperbarui: 29-07-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 29-07-2022: Update: GKE di AWS versi saat ini dan sebelumnya telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut: Pembuatan saat ini:
Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Kerentanan ini memengaruhi semua versi GKE di AWS. Apa yang harus saya lakukan?Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui ketika versi GKE di AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux di versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam batas waktu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasikan hak istimewa ke root. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Update 29-07-2022: Update: Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut pada versi Azure:
Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Kerentanan ini memengaruhi semua versi GKE di Azure. Apa yang harus saya lakukan?Versi GKE di Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui ketika versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux di versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam batas waktu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasikan hak istimewa ke root. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa dengan akses lokal ke cluster untuk mencapai perincian container penuh untuk root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-014
Dipublikasikan: 26-04-2022
Diperbarui: 22-11-2022
Update 22-11-2022: Menambahkan informasi tentang beban kerja yang berjalan di cluster Autopilot.
Update 12-05-2022: Update versi patch untuk GKE di AWS dan
GKE di Azure.
Referensi: CVE-2022-1055, CVE-2022-27666
GKE
Diperbarui: 22-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh oleh kerentanan ini. Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE mendatang berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. GKE pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on AWS
Diperbarui: 12-05-2022
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Update 12-05-2022: GKE versi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE di versi AWS berikut: Generasi saat ini
Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui setelah tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on Azure
Diperbarui: 12-05-2022
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi Azure berikut:
Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui setelah tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisDi CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam container untuk mengeskalasikan hak istimewa ke root pada node. Di CVE-2022-27666, buffer overflow di esp/esp6_output_head memungkinkan penyerang lokal di container untuk mengeskalasikan hak istimewa untuk root pada node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan diupdate ke versi yang berisi perbaikan untuk CVE-2022-1055 dan CVE-2022-27666. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2022-013
Dipublikasikan: 2022-04-11
Diperbarui: 2022-04-20
Referensi: CVE-2022-23648
Pembaruan 22-04-2022: Versi patch terbaru untuk Google Distributed Cloud Virtual for Bare Metal dan GKE di VMware.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu) yang menggunakan container secara default. Semua node GKE, Autopilot, dan GKE Sandbox akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node secara manual ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu. |
Sedang |
GKE on VMware
Diperbarui: 22-04-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua GKE di VMware yang mengaktifkan stackdriver dan menggunakan container. GKE pada VMware versi 1.8, 1.9, dan 1.10 terpengaruh Apa yang harus saya lakukan?Update 22-04-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.
Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:
CVE ini dapat dimitigasi dengan menyetel IgnoreImageDefinedVolumes ke true. |
Sedang |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE pada versi AWS akan terpengaruh. Apa yang harus saya lakukan?Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di versi AWS. GKE di AWS (generasi saat ini)
GKE di AWS (generasi sebelumnya)
CVE ini dapat dimitigasi dengan menyetel IgnoreImageDefinedVolumes ke true. |
Sedang |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Semua GKE pada versi Azure terpengaruh. Apa yang harus saya lakukan?Versi GKE di Azure berikut ini telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda sebagai berikut:
CVE ini dapat dimitigasi dengan menyetel IgnoreImageDefinedVolumes ke true. |
Sedang |
Google Distributed Cloud Virtual untuk Bare Metal
Diperbarui: 22-04-2022
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua Google Distributed Cloud Virtual untuk Bare Metal yang menggunakan container. Google Distributed Cloud Virtual for Bare Metal versi 1.8, 1.9, dan 1.10 terpengaruh Apa yang harus saya lakukan?Update 22-04-2022: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut berisi kode yang memperbaiki kerentanan ini.
Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:
CVE ini dapat dimitigasi dengan menyetel IgnoreImageDefinedVolumes ke true. |
Sedang |
GCP-2022-012
Dipublikasikan: 2022-04-07
Diperbarui: 2022-11-22
Referensi: CVE-2022-0847
2022-11-22 Update: Informasi terbaru tentang workload menggunakan GKE Sandbox.
GKE
Diperbarui: 22-11-2022
Deskripsi | Tingkat keparahan |
---|---|
Update 22-11-2022: Beban kerja yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa container ke root. Kerentanan ini memengaruhi semua kumpulan node GKE versi v1.22 dan yang lebih baru yang menggunakan image Container-Optimized OS (Container-Optimized OS 93 dan yang lebih baru). Kumpulan node GKE yang menggunakan OS Ubuntu tidak akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru channel rilis memungkinkan Anda menerapkan versi patch dari channel rilis lain tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan tanda PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam versi 5.8 kernel Linux. Dalam kerentanan ini, anggota "flags" pada struktur buffer pipe baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan cacat ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan mengeskalasikan hak istimewa mereka. Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam GKE versi kumpulan node yang diupdate. |
Tinggi |
GKE on VMware
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa ke root. Kerentanan ini memengaruhi GKE pada VMware v1.10 untuk image OS yang Dioptimalkan untuk Container. Saat ini, GKE di VMware dengan Ubuntu menggunakan kernel versi 5.4 dan tidak rentan terhadap serangan ini. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke GKE pada versi VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan tanda PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam versi 5.8 kernel Linux. Dalam kerentanan ini, anggota "flags" pada struktur buffer pipe baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan cacat ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan mengeskalasikan hak istimewa mereka. Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi GKE yang diupdate di VMware. |
Tinggi |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa ke root. Kerentanan ini memengaruhi cluster terkelola dari GKE pada AWS v1.21 dan cluster yang berjalan di GKE pada AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk GKE terkelola di AWS, sebaiknya Anda mengupgrade cluster pengguna dan nodepool ke salah satu versi berikut:
Untuk GKE k-lite di AWS, sebaiknya upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool Anda ke versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan tanda PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam versi 5.8 kernel Linux. Dalam kerentanan ini, anggota "flags" pada struktur buffer pipe baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan cacat ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan mengeskalasikan hak istimewa mereka. |
Tinggi |
GKE on Azure
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa ke root. Kerentanan ini memengaruhi cluster GKE terkelola di Azure v1.21 yang menggunakan Ubuntu. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster pengguna dan node pool ke versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan tanda PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan dalam versi 5.8 kernel Linux. Dalam kerentanan ini, anggota "flags" pada struktur buffer pipe baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan cacat ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan mengeskalasikan hak istimewa mereka. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa ke root. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan telah diupdate ke versi yang berisi perbaikan untuk CVE-2022-0847. |
Tinggi |
GCP-2022-011
Dipublikasikan: 22-03-2022
Diperbarui: 2022-08-11
Update 11-08-2022: Menambahkan detail selengkapnya tentang dampak kesalahan konfigurasi SMT.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Update 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Multi-Threading (SMT) Simultan. SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum. Jika Anda mengaktifkan SMT secara manual untuk kumpulan node yang di-sandbox, SMT akan tetap diaktifkan secara manual meskipun terjadi masalah ini. Terdapat kesalahan konfigurasi dengan Simultaneous Multi-Threading (SMT), juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Kesalahan konfigurasi ini membuat node berpotensi terkena serangan saluran samping seperti Sampling Data Mikroarsitektur (MDS) (untuk konteks lebih lanjut, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:
Jika Anda mengaktifkan SMT untuk kumpulan node secara manual, masalah ini tidak memengaruhi node yang di-sandbox. Apa yang harus saya lakukan?Upgrade node Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Node Sandbox GKE menonaktifkan SMT secara default, yang memitigasi serangan side-channel. |
Sedang |
GCP-2022-009
Dipublikasikan: 01-03-2022
Diperbarui: 2022-03-15
GKE
Deskripsi | Tingkat keparahan |
---|---|
Update 15-03-2022: Penambahan panduan hardening untuk GKE di AWS dan GKE di Azure. Menambahkan bagian tentang persistensi menggunakan webhook. Beberapa jalur yang tidak terduga untuk mengakses VM node di cluster GKE Autopilot dapat digunakan untuk mengeskalasikan hak istimewa di cluster. Masalah ini telah diperbaiki dan tidak ada tindakan lebih lanjut yang perlu dilakukan. Perbaikan ini mengatasi masalah yang dilaporkan melalui Program Reward Kerentanan kami. Pengguna cluster GKE Standard dan GKE secara opsional dapat menerapkan kebijakan hardening serupa seperti yang dijelaskan di bawah. Detail teknisAkses host menggunakan pengecualian kebijakan pihak ketigaAgar Google Cloud dapat menawarkan pengelolaan node penuh, dan SLA tingkat Pod, GKE Autopilot membatasi beberapa primitif Kubernetes dengan hak istimewa tinggi untuk membatasi beban kerja agar tidak memiliki akses level rendah ke VM node. Untuk menyetelnya dalam konteksnya: GKE Standard menyajikan akses penuh ke komputasi yang mendasarinya, Autopilot memberikan akses terbatas, dan Cloud Run tidak memberikan akses. Autopilot melonggarkan beberapa batasan tersebut untuk daftar alat pihak ketiga yang telah ditetapkan agar pelanggan dapat menjalankan alat tersebut dengan Autopilot tanpa modifikasi. Dengan menggunakan hak istimewa untuk membuat pod dengan pemasangan jalur host, peneliti dapat menjalankan container dengan hak istimewa di pod yang terlihat seperti salah satu alat pihak ketiga yang diizinkan ini untuk mendapatkan akses ke host. Kemampuan untuk menjadwalkan pod dengan cara ini diharapkan pada GKE Standard, tetapi tidak pada GKE Autopilot, karena alat ini mengabaikan pembatasan akses host yang digunakan untuk mengaktifkan SLA yang dijelaskan sebelumnya. Masalah ini telah diperbaiki dengan memperketat spesifikasi pod yang diizinkan oleh pihak ketiga. Eskalasi hak istimewa dari root-on-nodeSelain akses host, pod Kami telah menghentikan penggunaan dan menghapus Sebagai tindakan hardening sistem untuk mencegah jenis serangan ini pada masa mendatang, kami akan menerapkan batasan Autopilot dalam rilis mendatang yang mencegah update pada akun layanan berbagai objek di namespace
Penambahan 15-03-2022: Persistensi menggunakan webhook yang berubahWebhook yang berubah digunakan dalam laporan untuk mendapatkan posisi istimewa di cluster pasca-kompromi. Ini adalah bagian standar dari Kubernetes API yang dibuat oleh admin cluster, dan dapat dilihat oleh administrator saat Autopilot menambahkan dukungan untuk webhook yang ditentukan pelanggan. Akun layanan dengan hak istimewa di namespace defaultPenegak kebijakan autopilot sebelumnya mengizinkan dua akun layanan di namespace default: Apa yang harus saya lakukan?Kebijakan semua cluster GKE Autopilot telah diperbarui untuk menghapus akses host yang tidak diinginkan dan tidak perlu melakukan tindakan lebih lanjut. Pengerasan kebijakan lebih lanjut akan diterapkan pada Autopilot dalam beberapa minggu mendatang sebagai perlindungan sekunder. Anda tidak perlu melakukan tindakan apa pun. Cluster GKE Standard dan cluster GKE tidak terpengaruh karena pengguna sudah memiliki akses ke host. Sebagai tindakan hardening sistem, pengguna cluster GKE Standard dan cluster GKE dapat menerapkan perlindungan serupa dengan kebijakan Gatekeeper yang mencegah modifikasi mandiri workload dengan hak istimewa. Untuk mengetahui petunjuknya, lihat panduan hardening berikut:
|
Rendah |
GCP-2022-008
Dipublikasikan: 2022-02-23
Diperbarui: 2022-04-28
Referensi:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656
GKE
Deskripsi | Tingkat keparahan |
---|---|
Project Envoy baru-baru ini menemukan serangkaian kerentanan, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, atau CVE-2021-43824 kustom{/2021-43824{/2021-43824, dan 2021-43824 GKE6{/2021-43824.CVE-2022-21654CVE-2022-21657CVE-2022-21656 Semua masalah yang tercantum di bawah ini telah diperbaiki dalam rilis Envoy 1.21.1. Latar Belakang Teknis Detail tambahan untuk kerentanan ini tersedia di sini. Apa yang harus saya lakukan?Cluster GKE yang menjalankan Anthos Service Mesh harus diupgrade ke versi yang didukung dengan perbaikan terhadap kerentanan di atas
Cluster GKE yang menjalankan Istio-on-GKE harus diupgrade ke versi yang didukung dengan perbaikan terhadap kerentanan di atas
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
GKE on VMware
Diperbarui: 28-04-2022
Deskripsi | Tingkat keparahan |
---|---|
Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. GKE di VMware terpengaruh karena Envoy digunakan dengan server metrik. CVE Envoy yang sedang kami perbaiki tercantum di bawah. Kami akan memperbarui
buletin ini dengan versi tertentu saat tersedia:
Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos di VMware terpengaruh karena Istio digunakan untuk ingress. CVE Istio yang kami perbaiki tercantum di bawah. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia: CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod mengalami error saat menerima permintaan dengan header `authorization` yang dibuat khusus.Untuk mengetahui deskripsi lengkap dan dampak CVE di atas, lihat buletin keamanan. 28-04-2022 Penambahan: Apa yang harus saya lakukan?Versi GKE di VMware berikut ini memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Tingkat keparahan |
---|---|
Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. Anthos on Bare metal terpengaruh karena Envoy digunakan untuk server metrik.
Envoy CVEs yang kami perbaiki dalam rilis 1.10.3, 1.9.6, dan 1.8.9 tercantum di bawah:
Untuk deskripsi lengkap dan dampak CVE di atas, lihat buletin keamanan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
GCP-2022-006
Dipublikasikan: 2022-02-14
Diperbarui: 2022-05-16
Update 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini.
Update 12-05-2022: Update versi patch untuk GKE,
Google Distributed Cloud Virtual for Bare Metal, GKE on VMware, dan GKE on AWS.
Memperbaiki masalah saat buletin keamanan untuk GKE di AWS tidak ditampilkan saat ditambahkan pada 23-02-2022.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
ditemukan dalam fungsi Apa yang harus saya lakukan?Update 16-05-2022: Selain versi GKE yang disebutkan dalam update 12-05-2022, GKE versi 1.19.16-gke.7800 atau yang lebih baru juga berisi kode yang memperbaiki kerentanan ini. Update 12-05-2022: Versi GKE berikut berisi kode yang memperbaiki kerentanan ini:
Update 15-02-2022: Pernyataan gVisor yang dikoreksi. Kerentanan ini ditemukan di
Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
ditemukan dalam fungsi Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini. COS
Kerentanan ini ditemukan dalam cgroup_release_agent_write kernel Linux dalam fungsi kernel/cgroup/cgroup-v1.c dan dapat digunakan sebagai pemecahan container. GKE di VMware tidak terpengaruh karena adanya perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, sebagian pelanggan mungkin masih rentan jika telah melonggarkan pembatasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau container, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GKE on AWS
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
ditemukan dalam fungsi Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE generasi saat ini dan sebelumnya di AWS berikut berisi kode yang memperbaiki kerentanan ini: Generasi saat ini
Update 23-02-2022: Catatan ditambahkan untuk GKE di AWS. GKE pada AWS generasi sebelumnya dan saat ini tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika telah melonggarkan batasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau container, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GKE Enterprise aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
ditemukan dalam fungsi Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE di Azure berikut berisi kode yang memperbaiki kerentanan ini:
GKE di Azure tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika telah melonggarkan batasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau container, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GCP-2022-005
Dipublikasikan: 2022-02-11Diperbarui: 2022-02-15
Referensi: CVE-2021-43527
GKE
Deskripsi | Tingkat keparahan |
---|---|
Update 15-02-2022: Beberapa versi GKE yang disebutkan dalam buletin
asli digabungkan dengan perbaikan lain dan nomor versinya bertambah sebelum dirilis. Patch tersedia dalam versi GKE
berikut:
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang terhubung ke versi rentan libnss3 yang ditemukan di versi NSS (Layanan Keamanan Jaringan) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Baik image GKE COS maupun Ubuntu memiliki versi yang rentan, dan perlu di-patch. Kemungkinan besar, CVE-2021-43527 dapat berdampak luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, fungsionalitas X.509, OCSP, atau CRL dapat terpengaruh. Dampaknya bergantung pada cara NSS digunakan/dikonfigurasi. GKE tidak menggunakan libnss3 untuk API yang dapat diakses Internet. Dampaknya terbatas pada kode on-host yang berjalan di luar container, yang berukuran kecil karena desain Chrome OS yang minimal. Kode GKE yang berjalan di dalam container yang menggunakan image dasar distroless golang tidak akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang terhubung ke versi rentan libnss3 yang ditemukan di versi NSS (Layanan Keamanan Jaringan) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara aplikasi tersebut mengonfigurasi NSS. GKE pada image VMware COS dan Ubuntu telah menginstal versi yang rentan, dan perlu di-patch. Kemungkinan besar, CVE-2021-43527 dapat berdampak luas pada aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS \#7, atau PKCS \#12. Selain aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, fungsionalitas X.509, OCSP, atau CRL dapat terpengaruh. Dampaknya bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Anthos di VMware tidak menggunakan libnss3 untuk API yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE ini untuk GKE di VMware diberi rating Sedang. Apa yang harus saya lakukan?Versi image node Linux untuk versi Anthos berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi Anthos berikut:
Apakah Anda menggunakan GKE pada versi VMware yang lebih lama dari 1.18? Anda menggunakan versi Anthos dari SLA dan sebaiknya upgrade ke salah satu versi yang didukung. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
GKE Enterprise aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang terhubung ke versi rentan libnss3 yang ditemukan di versi NSS (Layanan Keamanan Jaringan) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Cluster Anthos pada image Azure Ubuntu telah menginstal versi yang rentan, dan perlu di-patch. Kemungkinan besar, CVE-2021-43527 dapat berdampak luas pada aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain aplikasi yang menggunakan NSS untuk validasi sertifikat atau TLS lainnya, fungsionalitas X.509, OCSP, atau CRL dapat terpengaruh. Dampaknya bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Cluster Anthos di Azure tidak menggunakan libnss3 untuk API yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE ini untuk Anthos di Azure diberi rating Sedang. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu Anthos di versi Azure berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
GCP-2022-004
Dipublikasikan: 04-02-2022Referensi: CVE-2021-4034
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, yang merupakan bagian dari paket kit kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Apa yang harus saya lakukan?GKE tidak terpengaruh karena modul yang rentan, policykit-1, tidak diinstal pada image COS atau Ubuntu yang digunakan di GKE. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, yang merupakan bagian dari paket kit kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Konfigurasi default GKE Enterprise sudah memberikan hak istimewa "sudo" penuh kepada pengguna, sehingga eksploit ini tidak mengubah postur keamanan GKE Enterprise yang ada Detail teknisAgar bug ini dapat dieksploitasi, penyerang memerlukan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di VMware menyertakan versi policykit-1 dalam gambar rilisnya, konfigurasi default GKE Enterprise memungkinkan sudo tanpa sandi bagi siapa saja yang sudah memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak terpengaruh. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
GKE di AWS tidak terpengaruh. Modul yang rentan, policykit-1, tidak diinstal pada image Ubuntu yang digunakan oleh GKE versi saat ini dan sebelumnya di AWS. | Tidak ada |
GKE Enterprise aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, yang merupakan bagian dari paket kit kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan. Konfigurasi default GKE Enterprise sudah memberikan hak istimewa "sudo" penuh kepada pengguna, sehingga eksploit ini tidak mengubah postur keamanan GKE Enterprise yang ada Detail teknisAgar bug ini dapat dieksploitasi, penyerang memerlukan shell non-root pada sistem file node dan menginstal versi pkexec yang rentan. Meskipun GKE di Azure menyertakan versi policykit-1 dalam gambar rilisnya, konfigurasi default GKE Enterprise memungkinkan sudo tanpa sandi bagi siapa saja yang sudah memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna hak istimewa lebih dari yang sudah mereka miliki. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak terpengaruh. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Google Distributed Cloud Virtual untuk Bare Metal mungkin terpengaruh, bergantung pada paket yang diinstal pada sistem operasi yang dikelola pelanggan. Pindai image OS dan patch jika perlu. | Tidak ada |
GCP-2022-002
Dipublikasikan: 01-02-2022Diperbarui: 07-03-2022
Referensi: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
2022-02-07 Update di GKE di Azure dan bagian GKE4 Ditambahkan: Menambahkan update peluncuran untuk GKE dan GKE di VMware.
GKE
Diperbarui: 07-03-2022
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat memanfaatkan parameter panggilan sistem CVE-2021-22600 adalah eksploitasi bebas ganda pada package_set_ring yang dapat menyebabkan escape container ke node host. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan adanya pelanggaran container. Jalur eksploitasi untuk kerentanan ini yang mengandalkan syscall "unshare" diblokir pada cluster GKE Autopilot secara default menggunakan pemfilteran seccomp. Pengguna yang telah mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi. Apa yang harus saya lakukan?Update 07-03-2022: Versi image node Linux untuk GKE versi berikut telah diupdate dengan kode guna memperbaiki semua kerentanan ini pada image Ubuntu dan COS. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut.
Update 25-02-2022: Jika Anda menggunakan image node Ubuntu, 1.22.6-gke.1000 tidak menangani CVE-2021-22600. Kami akan memperbarui buletin ini dengan versi patch Ubuntu jika tersedia. Update 23-02-2022: Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.
Update 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari. Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.
Versi 1.22 dan 1.23 juga sedang dalam proses. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Diperbarui: 23-02-2022
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat memanfaatkan parameter panggilan sistem CVE-2021-22600 adalah eksploitasi bebas ganda pada package_set_ring yang dapat menyebabkan escape container ke node host. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan adanya pelanggaran container. Pengguna yang telah mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi. Apa yang harus saya lakukan?Update 2022-02-23: versi 1.10.2 (Perbaikan CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185) kini dijadwalkan pada 1 Maret. Update 2022-02-23: Menambahkan versi yang di-patch untuk CVE-2021-2260. Versi 1.10.1 tidak mengatasi CVE-2021-22600, tetapi mengatasi kerentanan lainnya. Versi 1.9.4 dan 1.10.2, keduanya yang belum dirilis, akan mengatasi CVE-2021-22600. Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu GKE di versi VMware berikut:
Update 04-02-2022: Menambahkan informasi tentang image Ubuntu yang tidak menangani CVE-2021-22600. Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu GKE di versi VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat memanfaatkan parameter panggilan sistem CVE-2021-22600 adalah eksploitasi bebas ganda pada package_set_ring yang dapat menyebabkan escape container ke node host. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan adanya pelanggaran container. Pengguna yang telah mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi. Apa yang harus saya lakukan?GKE on AWSVersi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke GKE berikut di versi AWS:
GKE di AWS (generasi sebelumnya)Versi image node Linux untuk versi GKE berikut di AWS (generasi sebelumnya) telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu GKE berikut di versi AWS (generasi sebelumnya):
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE Enterprise aktif
Deskripsi | Tingkat keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk detail selengkapnya. Detail teknisDi CVE-2021-4154, penyerang dapat memanfaatkan parameter panggilan sistem CVE-2021-22600 adalah eksploitasi bebas ganda pada package_set_ring yang dapat menyebabkan escape container ke node host. Dengan CVE-2022-0185, bug heap overflow di legacy_parse_param() dapat menyebabkan penulisan di luar batas yang akan menyebabkan adanya pelanggaran container. Pengguna yang telah mengaktifkan profil seccomp runtime container default secara manual di cluster GKE Standard juga akan terlindungi. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke GKE berikut di versi Azure:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2021-024
Dipublikasikan: 21-10-2021Referensi: CVE-2021-25742
GKE
Deskripsi | Tingkat keparahan |
---|---|
Terdapat masalah keamanan pada pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus memahami masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Terdapat masalah keamanan pada pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus memahami masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Terdapat masalah keamanan pada pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus memahami masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Terdapat masalah keamanan pada pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE Anda atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus memahami masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk detail selengkapnya. |
Tidak ada |
GCP-2021-019
Dipublikasikan: 29-09-2021GKE
Deskripsi | Tingkat keparahan |
---|---|
Ada masalah umum saat mengupdate resource Apakah saya terpengaruh?Jika kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Masalah ini memengaruhi versi GKE berikut:
Jika Anda tidak mengonfigurasi Google Cloud Armor pada resource Ingress melalui Apa yang harus saya lakukan?Upgrade bidang kontrol GKE Anda ke salah satu versi terupdate berikut yang akan menambal masalah ini dan memungkinkan resource
Masalah ini juga dapat dicegah dengan menghindari deployment resource Untuk mencegah masalah ini, hanya lakukan update pada Karena Manifes contoh berikut menjelaskan resource apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Jika Anda memiliki sistem atau alat CI/CD yang mengupdate resource |
Rendah |
GCP-2021-022
Dipublikasikan: 23-09-2021Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan telah ditemukan di modul LDAP GKE Enterprise Identity Service (AIS) GKE pada VMware versi 1.8 dan 1.8.1, di mana kunci seed yang digunakan dalam membuat kunci dapat diprediksi. Dengan kerentanan ini, pengguna terautentikasi dapat menambahkan klaim arbitrer dan mengeskalasikan hak istimewa tanpa batas. Detail teknisPenambahan terbaru pada kode AIS membuat kunci simetris menggunakan modul matematika/rand golang, yang tidak cocok untuk kode yang sensitif terhadap keamanan. Modul ini digunakan sedemikian rupa sehingga akan menghasilkan kunci yang dapat diprediksi. Selama verifikasi identitas, kunci layanan token aman (STS) akan dibuat, yang selanjutnya dienkripsi dengan kunci simetris yang mudah diperoleh. Apa yang harus saya lakukan?Kerentanan ini hanya memengaruhi pelanggan yang menggunakan AIS di GKE pada VMware versi 1.8 dan 1.8.1. Untuk pengguna GKE di VMware 1.8, upgrade cluster Anda ke versi berikut:
|
Tinggi |
GCP-2021-021
Dipublikasikan: 22-09-2021Referensi: CVE-2020-8561
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan Detail teknisDengan kerentanan ini, pelaku yang mengontrol respons atas permintaan Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang memberikan perlindungan dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan Detail teknisDengan kerentanan ini, pelaku yang mengontrol respons atas permintaan Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang memberikan perlindungan dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan Detail teknisDengan kerentanan ini, pelaku yang mengontrol respons atas permintaan Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang memberikan perlindungan dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan Detail teknisDengan kerentanan ini, pelaku yang mengontrol respons atas permintaan Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang memberikan perlindungan dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
GCP-2021-018
Dipublikasikan: 15-09-2021Diperbarui: 2021-09-24
Referensi: CVE-2021-25741
Update 24-09-2021: buletin GKE pada Bare Metal diperbarui dengan versi tambahan yang di-patch.
Update 20-09-2021: Buletin ditambahkan untuk GKE di Bare Metal
Update 16-09-2021: Buletin ditambahkan untuk GKE di VMware
GKE
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.Apa yang harus saya lakukan?Sebaiknya Anda mengupgrade kumpulan node ke salah satu versi berikut atau yang lebih baru untuk memanfaatkan patch terbaru:
Versi berikut juga berisi perbaikan:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.Apa yang harus saya lakukan?Diperbarui 24-09-2021: Versi yang di-patch 1.8.3 dan 1.7.4 kini tersedia. Diperbarui 17-09-2021: Mengoreksi daftar versi yang tersedia yang berisi patch. Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.Apa yang harus saya lakukan?Update 16-9-2021: Menambahkan daftar versi gke yang didukung untuk objek Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang terpasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam container.Apa yang harus saya lakukan?Versi GKE berikut di Bare Metal telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:
|
Tinggi |
GCP-2021-017
Dipublikasikan: 2021-09-01Diperbarui: 2021-09-23
Referensi: CVE-2021-33909
CVE-2021-33910
GKE
Deskripsi | Tingkat keparahan |
---|---|
Pembaruan 23-09-2021:Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini terhadap serangan yang berasal dari dalam container. Pembaruan 15-09-2021:Versi GKE berikut mengatasi kerentanan:
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Di CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan
overflow integer, Operasi Tulis di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Di CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan
overflow integer, Operasi Tulis di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux untuk GKE di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Di CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan
overflow integer, Operasi Tulis di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux dan COS untuk GKE di VMware telah diupdate dengan kode
untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
GCP-2021-015
Dipublikasikan: 13-07-2021Diperbarui: 2021-07-15
Referensi: CVE-2021-22555
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan di mana pelaku kejahatan dengan hak istimewa Detail teknis
Dalam serangan ini, operasi tulis di luar batas Apa yang harus saya lakukan?Versi Linux berikut di GKE telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan di mana pelaku kejahatan dengan hak istimewa Detail teknis
Dalam serangan ini, operasi tulis di luar batas Apa yang harus saya lakukan?Versi Linux berikut di GKE pada VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2021-014
Dipublikasikan: 05-07-2021Referensi: CVE-2021-34527
GKE
Deskripsi | Tingkat keparahan |
---|---|
Microsoft memublikasikan buletin keamanan pada kerentanan Eksekusi kode jarak jauh (RCE), CVE-2021-34527, yang memengaruhi spooler cetak di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan pembaruan tentang kerentanan terkait, yang disebut "PrintNightmare" yang juga memengaruhi spooler cetak Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Node Windows GKE tidak memuat layanan Spooler yang terpengaruh sebagai bagian dari image dasar, sehingga deployment GKE Windows tidak rentan terhadap serangan ini. Kerentanan apa yang ditangani oleh buletin ini?
|
Tinggi |
GCP-2021-012
Dipublikasikan: 01-07-2021Diperbarui: 2021-07-09
Referensi: CVE-2021-34824
GKE
Deskripsi | Tingkat keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yang memiliki kredensial yang ditentukan dalam kolom kredensial Gateway dan DestinationRule yang dapat diakses dari berbagai namespace. Detail teknis:Istio secure Gateway atau workload menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari lokasi dan disampaikan ke gateway serta workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan secara rahasia dalam namespace-nya. Namun, bug dalam lokasi memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di lokasi. Apa yang harus saya lakukan?Cluster GKE tidak menjalankan Istio secara default dan, jika diaktifkan, menggunakan Istio versi 1.6, yang tidak rentan terhadap serangan ini. Jika Anda telah menginstal atau mengupgrade Istio di cluster ke Istio 1.8 atau yang lebih baru, upgrade Istio Anda ke versi terbaru yang didukung. |
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yang memiliki kredensial yang ditentukan dalam kolom kredensial Gateway dan DestinationRule yang dapat diakses dari berbagai namespace. Detail teknis:Istio secure Gateway atau workload menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari lokasi dan disampaikan ke gateway serta workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan secara rahasia dalam namespace-nya. Namun, bug dalam lokasi memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di lokasi. Apa yang harus saya lakukan?Cluster Anthos di VMware v1.6 dan v1.7 tidak rentan terhadap serangan ini. Cluster Anthos di VMware v1.8 rentan. Jika Anda menggunakan cluster Anthos di VMware v1.8, upgrade ke versi yang di-patch berikut atau yang lebih baru:
|
Tinggi |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yang memiliki kredensial yang ditentukan dalam kolom kredensial Gateway dan DestinationRule yang dapat diakses dari berbagai namespace. Detail teknis:Istio secure Gateway atau workload menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, rahasia dibaca dari lokasi dan disampaikan ke gateway serta workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan secara rahasia dalam namespace-nya. Namun, bug dalam lokasi memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API untuk mengambil sertifikat TLS dan kunci pribadi yang di-cache di lokasi. Cluster yang dibuat atau diupgrade dengan cluster Anthos di bare metal v1.8.0 terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anthos v1.6 dan 1.7 tidak rentan terhadap serangan ini. Jika Anda memiliki cluster v1.8.0, download dan instal bmctl versi 1.8.1 dan upgrade cluster Anda ke versi yang di-patch berikut:
|
Tinggi |
GCP-2021-011
Dipublikasikan: 04-06-2021Diperbarui: 2021-10-19
Referensi: CVE-2021-30465
Update 19-10-2021: Menambahkan buletin untuk GKE di VMware, GKE di AWS, dan GKE pada Bare Metal.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di Untuk GKE, karena eksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai tingkat keparahan kerentanan ini di MEDIUM. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya menggunakan volume terpasang yang sama dengan sebuah symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Terdapat patch yang baru dirilis untuk Upgrade cluster GKE Anda ke salah satu versi terupdate berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di Untuk GKE di VMware, karena eksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai tingkat keparahan kerentanan ini di MEDIUM. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya menggunakan volume terpasang yang sama dengan sebuah symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Terdapat patch yang baru dirilis untuk
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di Karena ini adalah kerentanan tingkat OS, GKE di AWS tidak rentan. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya menggunakan volume terpasang yang sama dengan sebuah symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Pastikan versi OS tempat Anda menjalankan GKE di AWS telah diupgrade ke versi OS terbaru yang memiliki paketrunc yang telah diupdate.
|
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di Karena ini adalah kerentanan tingkat OS, GKE di Bare Metal tidak rentan. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi race dengan memulai beberapa pod pada satu node secara bersamaan, yang semuanya menggunakan volume terpasang yang sama dengan sebuah symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?
Pastikan versi OS tempat Anda menjalankan Google Distributed Cloud Virtual untuk Bare Metal
diupgrade ke versi OS terbaru dengan paket |
Tidak ada |
GCP-2021-006
Dipublikasikan: 11-05-2021Referensi: CVE-2021-31920
GKE
Deskripsi | Tingkat keparahan |
---|---|
Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio. Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, yang membuat permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan. Apa yang harus saya lakukan?Sebaiknya Anda mengupdate dan mengonfigurasi ulang cluster GKE. Perlu diperhatikan bahwa Anda harus menyelesaikan kedua langkah di bawah ini agar berhasil mengatasi kerentanan:
|
Tinggi |
GCP-2021-004
Dipublikasikan: 06-05-2021Referensi: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Deskripsi | Tingkat keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy. Cluster GKE tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin akan rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade bidang kontrol GKE Anda ke salah satu versi yang di-patch berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy. GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade GKE di VMware ke salah satu versi yang di-patch berikut saat dirilis:
|
Sedang |
Cluster GKE aktif
Diperbarui: 06-05-2021
Deskripsi | Tingkat keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy. Google Distributed Cloud Virtual for Bare Metal menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Google Distributed Cloud Virtual untuk Bare Metal ke salah satu versi yang di-patch berikut saat dirilis:
|
Sedang |
GCP-2021-003
Dipublikasikan: 19-04-2021Referensi: CVE-2021-25735
GKE
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi. Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Pendaftaran Validasi diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster GKE Anda ke salah satu versi yang di-patch berikut:
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi. Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Pendaftaran Validasi diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch yang akan datang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi. Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Pendaftaran Validasi diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch yang akan datang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi. Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Pendaftaran Validasi diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch yang akan datang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
GCP-2021-001
Dipublikasikan: 28-01-2021Referensi: CVE-2021-3156
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru-baru ini ditemukan di utilitas Linux Cluster Google Kubernetes Engine (GKE) tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena cluster GKE tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. GKE akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru-baru ini ditemukan di utilitas Linux GKE di VMware tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena GKE pada cluster VMware tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. GKE di VMware akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru-baru ini ditemukan di utilitas Linux GKE di AWS tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena GKE pada cluster AWS tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. GKE di AWS akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin. |
Tidak ada |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru-baru ini ditemukan di utilitas Linux Cluster Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena cluster Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. Google Distributed Cloud Virtual untuk Bare Metal akan menerapkan patch untuk kerentanan ini dalam rilis mendatang secara rutin. |
Tidak ada |
GCP-2020-015
Dipublikasikan: 2020-12-07Diperbarui: 2021-12-22
Referensi: CVE-2020-8554
Update 22-12-2021: Menggunakan gcloud beta
, bukan
perintah gcloud
.
Update 15-12-2021: Menambahkan mitigasi tambahan untuk GKE.
GKE
Deskripsi | Tingkat keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
seharusnya menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain dalam cluster tersebut. Kerentanan ini sendiri tidak memberikan izin kepada penyerang untuk membuat Layanan Kubernetes. Semua cluster Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu melakukan perubahan desain yang tidak kompatibel dengan versi lama pada versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti dalam cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah dengan membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIP bukan fitur yang umum digunakan. Batasi penggunaan ExternalIPs dalam cluster dengan salah satu metode berikut:
Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang diberikan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa dan komponen sistem yang diberi |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
seharusnya menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain dalam cluster tersebut. Kerentanan ini sendiri tidak memberikan izin kepada penyerang untuk membuat Layanan Kubernetes. Semua GKE di VMware terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu melakukan perubahan desain yang tidak kompatibel dengan versi lama pada versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti dalam cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah dengan membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIP bukan fitur yang umum digunakan. Batasi penggunaan ExternalIPs dalam cluster dengan salah satu metode berikut:
Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang diberikan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa dan komponen sistem yang diberi |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
seharusnya menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain dalam cluster tersebut. Kerentanan ini sendiri tidak memberikan izin kepada penyerang untuk membuat Layanan Kubernetes. Semua GKE di AWS terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu melakukan perubahan desain yang tidak kompatibel dengan versi lama pada versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti dalam cluster multi-tenant, pertimbangkan untuk menerapkan mitigasi. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah dengan membatasi penggunaan ExternalIP dalam sebuah cluster. ExternalIP bukan fitur yang umum digunakan. Batasi penggunaan ExternalIPs dalam cluster dengan salah satu metode berikut:
Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang diberikan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa dan komponen sistem yang diberi |
Sedang |
GCP-2020-014
Dipublikasikan: 20-10-2020Referensi: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Diperbarui: 20-10-2020
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Permasalahannya adalah:
GKE tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan lebih lanjut karena level logging panjang default GKE. |
Tidak ada |
Cluster GKE aktif
Diperbarui: 10-10-2020
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Permasalahannya adalah:
GKE di VMware tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan lebih lanjut karena level logging panjang default GKE. |
Tidak ada |
Cluster GKE aktif
Diperbarui: 20-10-2020
Deskripsi | Tingkat keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Permasalahannya adalah:
GKE pada AWS tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan lebih lanjut karena level logging panjang default GKE. |
Tidak ada |
GCP-2020-012
Dipublikasikan: 14-09-2020Referensi: CVE-2020-14386
GKE
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang mungkin memungkinkan escape container untuk mendapatkan hak istimewa root di node host. Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade bidang kontrol Anda, lalu node Anda ke salah satu versi yang di-patch yang tercantum di bawah ini:
Eksploitasi kerentanan ini memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386, yang memungkinkan container dengan |
Tinggi |
Cluster GKE aktif
Diperbarui: 17-09-2020
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang mungkin memungkinkan escape container untuk mendapatkan hak istimewa root di node host. Semua node GKE pada VMware akan terpengaruh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi {gke_on_prem_name}} mendatang berikut akan berisi perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui jika tersedia:
Eksploitasi kerentanan ini memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386, yang memungkinkan container dengan |
Tinggi |
Cluster GKE aktif
Diperbarui: 13-10-2020
Deskripsi | Tingkat keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang mungkin memungkinkan escape container untuk mendapatkan hak istimewa root di node host. Semua GKE pada node AWS akan terpengaruh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade layanan pengelolaan dan cluster pengguna ke versi yang di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut akan mencakup perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui jika tersedia:
Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386, yang memungkinkan container dengan |
Tinggi |
GCP-2020-011
Dipublikasikan: 24-07-2020Referensi: CVE-2020-8558
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi. Dengan memanfaatkan kerentanan ini pada cluster GKE, penyerang harus memiliki hak istimewa administrator jaringan di Google Cloud yang menghosting VPC cluster. Kerentanan ini saja tidak memberikan hak istimewa administrator jaringan kepada penyerang. Karena alasan inilah, kerentanan ini telah diberi tingkat keparahan Rendah untuk GKE. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade kumpulan node cluster Anda ke versi GKE berikut (dan yang lebih baru):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Rendah |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi. Untuk memanfaatkan kerentanan ini pada cluster pengguna, penyerang harus menonaktifkan pemeriksaan tujuan sumber pada instance EC2 dalam cluster. Hal ini mengharuskan penyerang memiliki izin IAM AWS untuk Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi AWS atau yang lebih baru berikut diperkirakan akan menyertakan perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Rendah |
GCP-2020-009
Dipublikasikan: 15-07-2020Referensi: CVE-2020-8559
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang telah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perlu diperhatikan bahwa agar penyerang mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini dengan sendirinya tidak akan membahayakan node apa pun di cluster Anda. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. Cluster akan diupgrade secara otomatis dalam beberapa minggu ke depan, dan versi yang di-patch akan tersedia pada 19 Juli 2020 untuk jadwal upgrade manual yang dipercepat. Versi bidang kontrol GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memitigasi kerentanan CVE-2020-8559. Serangan ini dinilai sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan node yang telah disusupi kepada penyerang. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang telah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perlu diperhatikan bahwa agar penyerang mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini dengan sendirinya tidak akan membahayakan node apa pun di cluster Anda. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. GKE mendatang pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memitigasi kerentanan CVE-2020-8559. Serangan ini dinilai sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan node yang telah disusupi kepada penyerang. |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang telah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perlu diperhatikan bahwa agar penyerang mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini dengan sendirinya tidak akan membahayakan node apa pun di cluster Anda. Apa yang harus saya lakukan?GKE pada AWS GA (1.4.1, tersedia akhir Juli 2020) atau yang lebih baru menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download versi baru alat command line anthos-gke dan buat ulang cluster pengguna serta pengelolaan Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memitigasi kerentanan CVE-2020-8559. Serangan ini dinilai sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif di samping node yang sudah disusupi. Kerentanan ini dengan sendirinya tidak akan memberikan node yang telah disusupi kepada penyerang. |
Sedang |
GCP-2020-007
Dipublikasikan: 01-06-2020Referensi: CVE-2020-8555
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang telah diberi otorisasi untuk membocorkan hingga 500 byte informasi sensitif dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut. Sebagian besar cluster sudah menjalankan versi yang di-patch. Versi GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Cluster yang menggunakan saluran rilis sudah ada di versi bidang kontrol dengan mitigasi. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memitigasi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang telah diberi otorisasi untuk membocorkan hingga 500 byte informasi sensitif dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?GKE pada versi VMware atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:
Jika Anda menggunakan versi sebelumnya, upgrade cluster yang ada ke versi yang berisi perbaikan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memitigasi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang telah diberi otorisasi untuk membocorkan hingga 500 byte informasi sensitif dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade bidang kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?GKE pada AWS v0.2.0 atau yang lebih baru sudah menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download versi baru alat command line anthos-gke dan buat ulang cluster pengguna serta pengelolaan Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memitigasi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol. Penyerang yang memiliki izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
GCP-2020-006
Dipublikasikan: 01-06-2020Referensi: Masalah Kubernetes 91507
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa mengalihkan traffic node ke container lain. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Apa yang harus saya lakukan?Untuk mengurangi kerentanan ini, upgrade bidang kontrol, lalu node Anda ke salah satu versi yang di-patch dan tercantum di bawah ini. Cluster pada saluran rilis sudah menjalankan versi yang di-patch pada bidang kontrol dan node:
Sangat sedikit container yang biasanya memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan berikut: Kerentanan yang dijelaskan dalam kemampuan
masalah Kubernetes 91507
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa mengalihkan traffic node ke container lain. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda melakukan upgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Apa yang harus saya lakukan?Guna mengurangi kerentanan ini untuk GKE di VMware, upgrade cluster Anda ke versi berikut atau yang lebih baru:
Sangat sedikit container yang biasanya memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan berikut: Kerentanan yang dijelaskan dalam kemampuan
masalah Kubernetes 91507
|
Sedang |
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa mengalihkan traffic node ke container lain. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda melakukan upgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Apa yang harus saya lakukan?Download alat command line anthos-gke dengan versi berikut atau yang lebih baru, lalu buat ulang cluster pengguna dan pengelolaan Anda:
Sangat sedikit container yang biasanya memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan berikut: Kerentanan yang dijelaskan dalam kemampuan
masalah Kubernetes 91507
|
Sedang |
GCP-2020-005
Dipublikasikan: 07-05-2020Diperbarui: 2020-05-07
Referensi: CVE-2020-8835
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru-baru ini ditemukan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan escape container mendapatkan hak istimewa root di node host. Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade ke versi patch terbaru sesegera mungkin, seperti yang kami jelaskan di bawah ini. Node yang menjalankan Container-Optimized OS tidak akan terpengaruh. Node yang berjalan di GKE di VMware tidak terpengaruh. Apa yang harus saya lakukan?Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node yang menjalankan Ubuntu di GKE versi 1.16 atau 1.17 yang terpengaruh. Untuk mengupgrade node, Anda harus terlebih dahulu mengupgrade master ke versi terbaru. Patch ini akan tersedia di Kubernetes 1.16.8-gke.12, 1.17.4-gke.10, dan rilis yang lebih baru. Lacak ketersediaan beberapa patch ini di catatan rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: CVE-2020-8835 menjelaskan kerentanan dalam kernel Linux versi 5.5.0 dan yang lebih baru yang mengizinkan container berbahaya (dengan interaksi pengguna minimal dalam bentuk exec) membaca dan menulis memori kernel sehingga mendapatkan eksekusi kode level root pada node host. Kerentanan ini dinilai sebagai kerentanan keparahan 'Tinggi'. |
Tinggi |
GCP-2020-004
Dipublikasikan: 07-05-2020Diperbarui: 2020-05-07
Referensi: CVE-2019-11254
Cluster GKE aktif
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru-baru ini ditemukan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan setiap pengguna yang diizinkan membuat permintaan POST untuk menjalankan serangan Denial-of-Service jarak jauh pada server Kubernetes API. Komite Keamanan Produk (PSC) Kubernetes merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini. Anda dapat memitigasi kerentanan ini dengan membatasi klien mana yang memiliki akses jaringan ke server Kubernetes API Anda. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini segera setelah tersedia. Versi patch yang berisi perbaikan tercantum di bawah ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut: |
Sedang |
GCP-2020-003
Dipublikasikan: 31-03-2020Diperbarui: 2020-03-31
Referensi: CVE-2019-11254
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kerentanan baru-baru ini ditemukan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan setiap pengguna yang diizinkan membuat permintaan POST untuk menjalankan serangan Denial-of-Service jarak jauh pada server Kubernetes API. Komite Keamanan Produk (PSC) Kubernetes merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini. Cluster GKE yang menggunakan Jaringan yang Diizinkan Master dan Cluster pribadi tanpa endpoint publik dapat mengurangi kerentanan ini. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan kerentanan ini. Versi patch yang berisi perbaikan tercantum di bawah ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut: |
Sedang |
GCP-2020-002
Dipublikasikan: 2020-03-23Diperbarui: 2020-03-23
Referensi: CVE-2020-8551, CVE-2020-8552
GKE
Deskripsi | Tingkat keparahan |
---|---|
Kubernetes telah mengungkapkan dua kerentanan denial of service, satu memengaruhi server API, dan satu lagi memengaruhi Kubernetes. Untuk mengetahui detail selengkapnya, lihat masalah Kubernetes: 89377 dan 89378. Apa yang harus saya lakukan?Semua pengguna GKE dilindungi dari CVE-2020-8551 kecuali jika pengguna tidak tepercaya dapat mengirim permintaan dalam jaringan internal cluster. Penggunaan jaringan yang diizinkan master juga mengurangi mengurangi CVE-2020-8552. Kapan aset ini akan di-patch?Patch untuk CVE-2020-8551 memerlukan upgrade node. Versi patch yang akan berisi mitigasi tercantum di bawah:
Patch untuk CVE-2020-8552 memerlukan upgrade master. Versi patch yang akan berisi mitigasi tercantum di bawah:
|
Sedang |
GCP-january_21_2020
Dipublikasikan: 21-01-2020Diperbarui: 2020-01-24
Referensi: CVE-2019-11254
GKE
Deskripsi | Tingkat keparahan |
---|---|
Update 24-01-2020: Proses pembuatan versi yang di-patch tersedia sudah berlangsung dan akan selesai pada 25 Januari 2020. Microsoft telah mengungkapkan kerentanan di Windows Crypto API dan validasi tanda tangan kurva eliptisnya. Untuk informasi lebih lanjut, baca pengungkapan Microsoft. Apa yang sebaiknya saya lakukan? Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan lebih lanjut. Hanya node yang menjalankan Windows Server yang terpengaruh. Untuk pelanggan yang menggunakan node Windows Server, baik node maupun workload dalam container yang berjalan pada node tersebut harus diupdate ke versi yang di-patch untuk mengurangi kerentanan ini. Untuk memperbarui penampung: Bangun ulang container Anda menggunakan image container dasar terbaru Microsoft, dengan memilih tag servercore atau nanoserver dengan Waktu LastUpdated pada 14/1/2020 atau lebih baru. Untuk memperbarui node: Proses penyediaan versi yang di-patch tersedia sedang berlangsung dan akan selesai pada 24 Januari 2020. Anda dapat menunggu hingga waktu tersebut tiba dan melakukan upgrade node ke versi GKE yang di-patch atau Anda dapat menggunakan Windows Update untuk men-deploy patch Windows terbaru secara manual kapan saja. Versi patch yang akan berisi mitigasi tercantum di bawah ini:
Kerentanan apa yang dapat diatasi oleh patch ini? Patch ini mengurangi jenis kerentanan berikut: CVE-2020-0601 - Kerentanan ini juga dikenal sebagai Kerentanan Spoofing Windows Crypto API dan dapat dieksploitasi untuk membuat file berbahaya yang dapat dieksekusi tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi TLS ke software yang terpengaruh. |
Skor Dasar NVD: 8.1 (Tinggi) |
Buletin keamanan yang diarsipkan
Untuk buletin keamanan sebelum tahun 2020, lihat Arsip buletin keamanan.