セキュリティに関する情報

このページでは、次のプロダクトに関するすべてのセキュリティ情報について説明します。

  • Google Kubernetes Engine(GKE)
  • GKE on VMware
  • GKE on AWS
  • GKE on Azure
  • ベアメタル版 GKE

脆弱性に関する情報は多くの場合、影響を受けた当事者が対処するまで、情報制限により非公開となります。このような場合、そのプロダクトのリリースノートには、情報制限が解除されるまで「セキュリティ最新情報」が記載されます。リリースノートは情報制限が解除された時点で更新され、パッチによって対処された脆弱性の情報が反映されます。

クラスタの構成やバージョンに直接関連するセキュリティ情報を GKE が発行すると、脆弱性と実行できるアクションに関する情報を含む SecurityBulletinEvent クラスタ通知が送信されることがあります(該当する場合)。クラスタ通知の設定については、クラスタ通知をご覧ください。

GKE と GKE Enterprise のセキュリティの脆弱性とパッチの Google での管理方法については、セキュリティ パッチをご覧ください。

GKE と GKE Enterprise プラットフォームは、ingress-nginx や CRI-O コンテナ ランタイムなどのコンポーネントを使用しないため、そうしたコンポーネントの脆弱性による影響を受けません。他のソースからコンポーネントをインストールする場合は、ソースにあるそれらのコンポーネントのセキュリティ更新プログラムとパッチ適用に関する通知を参照してください。

このページのセキュリティに関する公開情報を定期的に受け取るには、こちらの XML フィードを使用してください。登録

GCP-2024-004

公開日: 2024 年 1 月 24 日
参考情報: CVE-2023-6817

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、リリース チャンネルでパッチ バージョンがデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2024-003

公開日: 2024 年 1 月 19 日
更新日時: 2024 年 1 月 26 日
2024 年 1 月 26 日更新: 影響を受けたクラスタの数と、影響を軽減するために Google が行ったアクションを明確にしました。

GKE

更新日時: 2024 年 1 月 26 日

説明 重大度

2024 年 1 月 26 日更新: system:authenticated グループを含む、お客様が作成した構成ミスがある少数の GKE クラスタが見つかった場合のセキュリティ調査が公開されました。この研究者のブログ投稿では、いくつかのバインディングが正しく構成されていない 1,300 個のクラスタと、高い権限を持つ 108 個のクラスタが関係しています。Google は、影響を受けるお客様と緊密に連携して、構成ミスのあるバインディングの削除を支援しています。


ユーザーが Google アカウントを持つすべてのユーザーが含まれる system:authenticated グループにユーザーが Kubernetes 権限を付与しているクラスタをいくつか特定しました。これらのタイプのバインディングは、最小権限の原則に違反し、大規模なユーザー グループにアクセスを許可するため、推奨されません。これらのタイプのバインディングを見つける方法については、必要な対策のガイダンスをご覧ください。

先ごろ、セキュリティ研究者が、脆弱性報告プログラムを通じて RBAC の構成ミスのあるクラスタが発見されたと報告しました。

Google の認証アプローチでは、複雑な構成手順を踏まなくても、Google Cloud と GKE の認証を可能な限りシンプルかつ安全に行うことができます。 認証は、ユーザーが誰であるかを伝えるだけであり、認可はアクセス付与を決定する場所です。そのため、Google の ID プロバイダで認証されたすべてのユーザーを含む GKE の system:authenticated グループが意図したとおりに動作し、IAM の allAuthenticatedUsers ID と同じように機能します。

Google ではこれらのことを念頭に置いて、ユーザーが Kubernetes の組み込みユーザーおよびグループで認可エラーを起こすリスクを軽減するために、system:anonymoussystem:authenticatedsystem:unauthenticated などのいくつかの手順を実行しました。これらのユーザー / グループはすべて、権限が付与されている場合にクラスタに対するリスクとなります。2023 年 11 月の Kubecon で、RBAC の構成ミスを標的とした攻撃者のアクティビティと利用可能な防御について説明しました。

これらのシステム ユーザーまたはグループによる誤った承認エラーからユーザーを保護するために、次の方法があります。

承認済みネットワークの制限を適用するクラスタには、第 1 の防御層があります。インターネットから直接攻撃することはできません。ただし、多層防御とネットワーク制御のエラーを防ぐため、これらのバインディングは削除することをおすすめします。
Kubernetes システム ユーザーまたはグループへのバインディングが意図的に使用されるケースが数多くあることに注意してください(例: kubeadm ブートストラッピングRancher ダッシュボードBitnami で保護されたシークレットなど)。これらのバインディングが意図したとおりに機能することは各ソフトウェア ベンダーに確認済みです。

Google では、これらのシステム ユーザーまたはグループに対するユーザー RBAC の構成ミスを、防止と検出を通じてさらに保護する方法を調査しています。

必要な対策

ユーザー system:anonymous、グループ system:authenticated、グループ system:unauthenticated への cluster-admin新しいバインディングを防ぐために、ユーザーが GKE v1.28 以降(リリースノート)にアップグレードすると、これらのバインディングの作成はブロックされます。

既存のバインディングを、このガイダンスに従って確認する必要があります。

GKE on VMware

現時点で更新はありません。

GKE on AWS

現時点で更新はありません。

GKE on Azure

現時点で更新はありません。

ベアメタル版 GKE

現時点で更新はありません。

GCP-2024-002

公開日: 2024 年 1 月 17 日
参考情報: CVE-2023-6111

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、リリース チャンネルでパッチ バージョンがデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-051

公開日: 2023 年 12 月 28 日
参考情報: CVE-2023-3609

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると、脆弱性の影響を受ける可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、リリース チャンネルでパッチ バージョンがデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-050

公開日: 2023 年 12 月 27 日
参考情報: CVE-2023-3389

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、リリース チャンネルでパッチ バージョンがデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-049

公開日: 2023 年 12 月 20 日
参考情報: CVE-2023-3090

GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

GKE Standard クラスタが影響を受けます。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp Unconfined プロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると脆弱性が生じる可能性があります。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、リリース チャンネルでパッチ バージョンがデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-048

公開日: 2023 年 12 月 15 日
更新日: 2023 年 12 月 21 日
参考情報: CVE-2023-3390

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

GKE

更新日: 2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.27.4-gke.400
  • 1.28.0-gke.100

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、リリース チャンネルでパッチ バージョンがデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-047

公開: 2023-12-14

GKE

説明 重大度

Fluent Bit ロギング コンテナを侵害した攻撃者によって、そのアクセス権を Anthos Service Mesh で必要な高い権限(権限を有効にしたクラスタにおいて)と組み合わせ、クラスタ内の権限を昇格させられる危険性が見つかりました。Fluent Bit と Anthos Service Mesh に関する問題が軽減され、修正されました。これらの脆弱性は、GKE 自体では悪用できず、最初の侵害が必要です。Google では、これらの脆弱性が悪用されたことは認識していません。

これらの問題は、脆弱性報奨金プログラムを通じて報告されました。

必要な対策

次のバージョンの GKE は、Fluent Bit とマネージド Anthos Service Mesh のユーザーの脆弱性を修正するコードで更新されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョン以降に手動でアップグレードすることをおすすめします。

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース チャンネル固有のデフォルトになるまで、ノードを保護できます。

クラスタでクラスタ内 Anthos Service Mesh を使用する場合は、次のバージョン(リリースノート)のいずれかに手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は Fluent Bit ロギング コンテナを不正使用する必要があります。Google は、この権限昇格の前提条件となる Fluent Bit の既存の脆弱性を認識していません。今後、完全な攻撃チェーンを防ぐための堅牢策として、これらの脆弱性にパッチを適用しました。

GKE は Fluent Bit を使用して、クラスタで実行中のワークロードのログを処理します。GKE の Fluent Bit は、Cloud Run ワークロードのログを収集するように構成されています。これらのログを収集するように構成されたボリューム マウントでは、ノードで実行されている他の Pod の Kubernetes サービス アカウント トークンに Fluent Bit からアクセスできます。研究者はこのアクセスを使用して、Anthos Service Mesh が有効になっているクラスタの、高い権限を持つサービス アカウント トークンを発見しました。

Anthos Service Mesh では、Pod の作成や削除など、クラスタの構成の変更に必要な高い権限が必要です。研究者は、Anthos Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成して、最初に不正使用された権限をエスカレーションしました。

Fluent Bit のサービス アカウント トークンへのアクセス権を削除し、Anthos Service Mesh の機能を再設計して、過剰な権限を削除しました。

GKE on VMware

説明 重大度

Anthos Service Mesh を使用する GKE on VMware クラスタのみが影響を受けます。

必要な対策

クラスタでクラスタ内 Anthos Service Mesh を使用する場合は、次のバージョン(リリースノート)のいずれかに手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は最初にコンテナを不正使用するかコンテナから抜け出すか、クラスタノードに root を持つ必要があります。Google は、この権限昇格の前提条件となる既存の脆弱性を認識していません。今後、潜在的な攻撃チェーンを防ぐために、セキュリティ対策としてこれらの脆弱性にパッチを適用しました。

Anthos Service Mesh では、Pod の作成や削除など、クラスタの構成の変更に必要な高い権限が必要です。研究者は、Anthos Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成して、最初に不正使用された権限をエスカレーションしました。

Anthos Service Mesh の機能を再設計し、過剰な権限を削除しました。

GKE on AWS

説明 重大度

Anthos Service Mesh を使用する GKE on AWS クラスタのみが影響を受けます。

必要な対策

クラスタでクラスタ内 Anthos Service Mesh を使用する場合は、次のいずれかのバージョン(リリースノート)に手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は最初にコンテナを不正使用するかコンテナから抜け出すか、クラスタノードに root を持つ必要があります。Google は、この権限昇格の前提条件となる既存の脆弱性を認識していません。今後、潜在的な攻撃チェーンを防ぐために、セキュリティ対策としてこれらの脆弱性にパッチを適用しました。

Anthos Service Mesh では、Pod の作成や削除など、クラスタの構成の変更に必要な高い権限が必要です。研究者は、Anthos Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成して、最初に不正使用された権限をエスカレーションしました。

Anthos Service Mesh の機能を再設計し、過剰な権限を削除しました。

GKE on Azure

説明 重大度

Anthos Service Mesh を使用する GKE on Azure クラスタのみが影響を受けます。

必要な対策

クラスタでクラスタ内 Anthos Service Mesh を使用する場合は、次のいずれかのバージョン(リリースノート)に手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は最初にコンテナを不正使用するかコンテナから抜け出すか、クラスタノードに root を持つ必要があります。Google は、この権限昇格の前提条件となる既存の脆弱性を認識していません。今後、潜在的な攻撃チェーンを防ぐために、セキュリティ対策としてこれらの脆弱性にパッチを適用しました。

Anthos Service Mesh では、Pod の作成や削除など、クラスタの構成の変更に必要な高い権限が必要です。研究者は、Anthos Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成して、最初に不正使用された権限をエスカレーションしました。

Anthos Service Mesh の機能を再設計し、過剰な権限を削除しました。

ベアメタル版 GKE

説明 重大度

影響を受けるのは、Anthos Service Mesh を使用するベアメタル版 GKE クラスタのみです。

必要な対策

クラスタでクラスタ内 Anthos Service Mesh を使用する場合は、次のバージョン(リリースノート)のいずれかに手動でアップグレードする必要があります。

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

このパッチで対処される脆弱性

この情報で対処される脆弱性では、攻撃者は最初にコンテナを不正使用するかコンテナから抜け出すか、クラスタノードに root を持つ必要があります。Google は、この権限昇格の前提条件となる既存の脆弱性を認識していません。今後、潜在的な攻撃チェーンを防ぐために、セキュリティ対策としてこれらの脆弱性にパッチを適用しました。

Anthos Service Mesh では、Pod の作成や削除など、クラスタの構成の変更に必要な高い権限が必要です。研究者は、Anthos Service Mesh の特権 Kubernetes サービス アカウント トークンを使用して、クラスタ管理者権限を持つ新しい Pod を作成して、最初に不正使用された権限をエスカレーションしました。

Anthos Service Mesh の機能を再設計し、過剰な権限を削除しました。

GCP-2023-046

公開日: 2023 年 11 月 22 日
更新日: 2024 年 1 月 22 日
参考情報: CVE-2023-5717

2024 年 1 月 22 日更新: Ubuntu パッチ バージョンを追加しました。

GKE

更新日時: 2024 年 1 月 22 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2024 年 1 月 22 日更新: 次のマイナー バージョンが影響を受けます。 Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、リリース チャンネルでパッチ バージョンがデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-045

公開日: 2023 年 11 月 20 日
更新日: 2023 年 12 月 21 日
参考情報: CVE-2023-5197

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

GKE

更新日: 2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

影響を受けるマイナー バージョンは次のとおりです。Container-Optimized OS ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

影響を受けるマイナー バージョンは次のとおりです。Ubuntu ノードプールを次のいずれかのパッチ バージョン以降にアップグレードします。

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、リリース チャンネルでパッチ バージョンがデフォルトになるまでノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-042

公開日: 2023 年 11 月 13 日
更新日: 2023 年 11 月 15 日
参考情報: CVE-2023-4147

2023 年 11 月 15 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ適用済みバージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 15 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

GKE Standard クラスタが影響を受けます。GKE Autopilot クラスタは影響を受けません。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 15 日更新: ノードでマイナー バージョンを使用する場合、このセキュリティ情報に記載されているパッチ適用済みバージョンのいずれかにアップグレードするだけで済みます。たとえば、GKE バージョン 1.27 を使用する場合は、対応するパッチ適用済みバージョンにアップグレードする必要があります。ただし、GKE バージョン 1.24 を使用している場合は、パッチ適用済みバージョンにアップグレードする必要はありません。


Container-Optimized OS ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Ubuntu ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

クラスタが独自のリリース チャンネルで同じマイナー バージョンを実行している場合、新しいリリース チャンネルのパッチ バージョンを適用できます。この機能を使用すると、パッチ適用済みバージョンがリリース チャンネルのデフォルトになるまで、ノードを保護できます。詳細については、新しいチャンネルからのパッチ バージョンの実行をご覧ください。

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-041

公開日: 2023 年 11 月 8 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日
参考情報: CVE-2023-4004

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

2023 年 12 月 5 日更新: Container-Optimized OS ノードプールに GKE バージョンを追加しました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 12 月 5 日更新: 以前の GKE バージョンの一部が欠落していました。Container-Optimized OS を更新できる GKE バージョンの更新リストは、次のとおりです。

  • 1.24.17-gke.200 以降
  • 1.25.13-gke.200 以降
  • 1.26.8-gke.200 以降
  • 1.27.4-gke.2300 以降
  • 1.28.1-gke.1257000 以降

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。記載されていないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Ubuntu ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-040

公開日: 2023 年 11 月 6 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-4921

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。記載されていないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Ubuntu ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-039

公開日: 2023 年 11 月 06 日
更新日: 2023 年 11 月 21 日、2023 年 11 月 16 日
参考情報: CVE-2023-4622

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

2023 年 11 月 16 日更新: このセキュリティ情報に関連する脆弱性は CVE-2023-4622 です。CVE-2023-4623 は、以前のバージョンのセキュリティ情報における脆弱性として誤ってリストされました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。記載されていないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Ubuntu ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000

GKE on VMware

更新日: 2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

保留

GKE on AWS

更新日: 2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

保留

GKE on Azure

更新日: 2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

保留

ベアメタル版 GKE

更新日: 2023 年 11 月 16 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-038

公開日: 2023 年 11 月 6 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-4623

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。記載されていないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Ubuntu ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-037

公開日: 2023 年 11 月 6 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-4015

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。記載されていないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.27.5-gke.1647000

Ubuntu ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

必要な対策

保留

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

必要な対策

保留

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

必要な対策

保留

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

なし

GCP-2023-035

公開日: 2023 年 10 月 26 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-4206CVE-2023-4207CVE-2023-4208CVE-2023- 4128

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。記載されていないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Ubuntu ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

必要な対策

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

必要な対策

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

必要な対策

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

GCP-2023-033

公開日: 2023 年 10 月 24 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
参考情報: CVE-2023-3777

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けず、GKE Sandbox ワークロードは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: リストされているマイナー バージョンのみ、GKE の対応するパッチ バージョンにアップグレードする必要があることを明記しました。

GKE

更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp 制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可すると、脆弱性が生じる可能性があります。GKE Sandbox のワークロードにも影響はありません。

Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタが影響を受けます。

必要な対策

2023 年 11 月 21 日更新: ノードでこのマイナー バージョンを使用する場合、この公開情報に記載されているパッチ バージョンのいずれかにアップグレードするだけで済みます。記載されていないマイナー バージョンは影響を受けません。

Container-Optimized OS ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Ubuntu ノードプールを、次のいずれかのバージョン以降にアップグレードします。

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100

GKE on VMware

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

必要な対策

GKE on AWS

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

必要な対策

GKE on Azure

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

必要な対策

ベアメタル版 GKE

説明 重大度

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

必要な対策

これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Bare Metal はディストリビューションにオペレーティング システムがバンドルされていないため、影響を受けません。

GCP-2023-030

公開日: 2023 年 10 月 10 日
更新日: 2023 年 11 月 09 日
参考情報: CVE-2023-44487CVE-2023-39325

2023 年 11 月 9 日更新: CVE-2023-39325 を追加しました。CVE-2023-44487 と CVE-2023-39325 の最新のパッチで GKE バージョンを更新しました。

GKE

更新日: 2023 年 11 月 09 日

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。承認済みネットワークが構成されている GKE クラスタはネットワーク アクセスを制限することで保護されますが、他のすべてのクラスタは影響を受けます。

必要な対策

2023 年 11 月 9 日更新: Go と Kubernetes のセキュリティ パッチを含む GKE の新しいバージョンがリリースされました。これらのクラスタは今すぐ更新できます。この問題をさらに軽減するため、今後数週間のうちに GKE コントロール プレーンの追加の変更をリリースします。

次の GKE バージョンは CVE-2023-44487 と CVE-2023-39325 のパッチで更新されました。

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

できるだけ早く次の緩和策を適用して、最新のパッチ適用済みバージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になったら、新しい Kubernetes API サーバーを構築して認定し、GKE のパッチ適用リリースを作成します。GKE リリースが公開されたら、このセキュリティ情報を更新して、コントロール プレーンをアップグレードするバージョンのガイダンスを提供します。また、クラスタで利用可能な場合は GKE のセキュリティ体制内でパッチを公開します。チャネルにパッチが適用可能になったときに Pub/Sub 通知を受信するには、クラスタ通知を有効にします

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

コントロール プレーンのアクセス用に承認済みネットワークを構成して軽減します。

承認済みクラスタは、既存のクラスタに追加できます。詳細については、既存のクラスタ用の承認済みネットワークをご覧ください。

追加する承認済みネットワークに加えて、GKE コントロール プレーンにアクセスできるプリセット IP アドレスがあります。これらのアドレスの詳細については、コントロール プレーン エンドポイントへのアクセスをご覧ください。クラスタの分離の概要は次のとおりです。

  • 限定公開クラスタ--master-authorized-networksと PSC ベースのクラスタ--master-authorized-networks--no-enable-google-cloud構成が最も分離されています。
  • --master-authorized-networks を持つ以前の一般公開クラスタと、--master-authorized-networks--enable-google-cloud(デフォルト)が構成されている PSC ベースのクラスタには、さらに以下からアクセスできます。
    • Google Cloud 内のすべての Compute Engine VM のパブリック IP アドレス
    • Google Cloud Platform の IP アドレス

このパッチで対処される脆弱性

脆弱性 CVE-2023-44487 は、攻撃者が GKE コントロール プレーン ノードでサービス拒否攻撃を実行できるというものです。

GKE on VMware

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Kubernetes コントロール プレーンの DoS が発生する可能性があります。GKE on VMware は、デフォルトではインターネットに直接アクセスできず、この脆弱性から保護される Kubernetes クラスタを作成します。

必要な対策

インターネットまたは他の信頼できないネットワークに直接アクセスできるように GKE on VMware Kubernetes クラスタを構成している場合は、ファイアウォール管理者と協力してアクセスをブロックまたは制限することをおすすめします。

できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になったら、新しい Kubernetes API サーバーを構築して認定し、GKE のパッチ適用リリースを作成します。GKE リリースが使用可能になると、このセキュリティ情報が更新されて、コントロール プレーンをアップグレードするバージョンに関するガイダンスが追加されます。

このパッチで対処される脆弱性

脆弱性 CVE-2023-44487 は、攻撃者が Kubernetes コントロール プレーン ノードでサービス拒否攻撃を実行できるというものです。

GKE on AWS

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Kubernetes コントロール プレーンの DoS が発生する可能性があります。GKE on AWS は、デフォルトではインターネットに直接アクセスできず、この脆弱性から保護されるプライベート Kubernetes クラスタを作成します。

必要な対策

インターネットまたは他の信頼できないネットワークに直接アクセスできるように GKE on AWS を構成している場合は、ファイアウォール管理者と協力してそのアクセスをブロックまたは制限することをおすすめします。

できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になったら、新しい Kubernetes API サーバーを構築して認定し、GKE のパッチ適用リリースを作成します。GKE リリースが使用可能になると、このセキュリティ情報が更新されて、コントロール プレーンをアップグレードするバージョンに関するガイダンスが追加されます。

このパッチで対処される脆弱性

脆弱性 CVE-2023-44487 は、攻撃者が Kubernetes コントロール プレーン ノードでサービス拒否攻撃を実行できるというものです。

GKE on Azure

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Kubernetes コントロール プレーンの DoS が発生する可能性があります。GKE on Azure は、デフォルトではインターネットから直接アクセスできず、この脆弱性から保護される限定公開 Kubernetes クラスタを作成します。

必要な対策

インターネットまたは他の信頼できないネットワークに直接アクセスできるように GKE on Azure クラスタを構成している場合は、ファイアウォール管理者と協力してアクセスをブロックまたは制限することをおすすめします。

できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になったら、新しい Kubernetes API サーバーを構築して認定し、GKE のパッチ適用リリースを作成します。GKE リリースが公開されたら、このセキュリティ情報を更新し、コントロール プレーンをアップグレードするバージョンに関するガイダンスを提供します。

このパッチで対処される脆弱性

脆弱性 CVE-2023-44487 は、攻撃者が Kubernetes コントロール プレーン ノードでサービス拒否攻撃を実行できるというものです。

ベアメタル版 GKE

説明 重大度

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Kubernetes コントロール プレーンの DoS が発生する可能性があります。ベアメタル版 Anthos は、デフォルトではインターネットに直接アクセスできず、この脆弱性から保護される Kubernetes クラスタを作成します。

必要な対策

インターネットや他の信頼できないネットワークに直接アクセスできるようにベアメタル版 Anthos クラスタの Anthos クラスタを構成している場合は、ファイアウォール管理者と協力してアクセスをブロックまたは制限することをおすすめします。詳細については、ベアメタル版 GKE のセキュリティの概要をご覧ください。

できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

Golang パッチは 10 月 10 日にリリースされます。パッチが利用可能になったら、新しい Kubernetes API サーバーを構築して認定し、GKE のパッチ適用リリースを作成します。GKE リリースが使用可能になると、このセキュリティ情報が更新されて、コントロール プレーンをアップグレードするバージョンに関するガイダンスが追加されます。

このパッチで対処される脆弱性

脆弱性 CVE-2023-44487 は、攻撃者が Kubernetes コントロール プレーン ノードでサービス拒否攻撃を実行できるというものです。

GCP-2023-026

公開日: 2023 年 9 月 6 日
参考情報: CVE-2023-3676CVE-2023-39552CVE-2023-3893

GKE

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Kubelet と Kubernetes CSI プロキシの Windows バージョンに影響します。

GKE クラスタが影響を受けるのは、Windows ノードが含まれている場合のみです。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

GKE コントロール プレーンは 2023 年 9 月 4 日の週に更新され、csi-proxy がバージョン 1.1.3 に更新されます。コントロール プレーンを更新する前にノードを更新する場合、新しいプロキシを利用するには、更新後にノードを再度更新する必要があります。ノードのバージョンを変更しなくても、gcloud container clusters upgrade コマンドを実行して、すでにノードプールと同じ GKE バージョンで --cluster-version フラグを渡すことで、ノードを再び更新できます。この回避策には、gcloud CLI を使用する必要があります。 これにより、メンテナンスの時間枠に関係なく更新が発生します。

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース チャンネル固有のデフォルトになるまで、ノードを保護できます。

このパッチで対処される脆弱性

CVE-2023-3676 により、悪意のある行為者が PowerShell コマンドを含むホストパス文字列を使用して Pod 仕様を作成するおそれがあります。Kubelet は入力サニタイズがないため、この細工されたパス文字列を引数としてコマンド エグゼキュータに渡します。ここで、文字列の一部が別々のコマンドとして実行されます。これらのコマンドは、Kubelet と同じ管理者権限で実行されます。

CVE-2023-3955 により、Kubelet は、Pod を作成できるユーザーに Kubelet エージェントと同じ権限レベルで特権(特権)を実行する権限を付与します。

CVE-2023-3893 では、同様のサニタイズがないため、kubernetes-csi-proxy を実行している Windows ノードで Pod を作成できるユーザーが、そのノードに対する管理者権限に昇格できます。

Kubernetes 監査ログは、この脆弱性が悪用されているかどうかを検出するために使用できます。埋め込みの PowerShell コマンドによる Pod 作成イベントは、悪用の強いことを示しています。 ConfigMap と Secret は、埋め込みの PowerShell コマンドを含み、Pod にマウントされる場合も、悪用の可能性が高くなります。

GKE on VMware

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Kubelet と Kubernetes CSI プロキシの Windows バージョンに影響します。

クラスタが影響を受けるのは、Windows ノードが含まれている場合のみです。

必要な対策

このパッチで対処される脆弱性

CVE-2023-3676 により、悪意のある行為者が PowerShell コマンドを含むホストパス文字列を使用して Pod 仕様を作成するおそれがあります。Kubelet は入力サニタイズがないため、この細工されたパス文字列を引数としてコマンド エグゼキュータに渡します。ここで、文字列の一部が別々のコマンドとして実行されます。これらのコマンドは、Kubelet と同じ管理者権限で実行されます。

CVE-2023-3955 により、Kubelet は、Pod を作成できるユーザーに Kubelet エージェントと同じ権限レベルで特権(特権)を実行する権限を付与します。

CVE-2023-3893 では、同様のサニタイズがないため、kubernetes-csi-proxy を実行している Windows ノードで Pod を作成できるユーザーが、そのノードに対する管理者権限に昇格できます。

Kubernetes 監査ログは、この脆弱性が悪用されているかどうかを検出するために使用できます。埋め込みの PowerShell コマンドによる Pod 作成イベントは、悪用の強いことを示しています。 ConfigMap と Secret は、埋め込みの PowerShell コマンドを含み、Pod にマウントされる場合も、悪用の可能性が高くなります。

GKE on AWS

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Kubelet と Kubernetes CSI プロキシの Windows バージョンに影響します。

必要な対策

GKE on AWS は、これらの CVE の影響を受けません。このため、ご対応は不要です。

なし

GKE on Azure

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Kubelet と Kubernetes CSI プロキシの Windows バージョンに影響します。

必要な対策

GKE on Azure は、これらの CVE の影響を受けません。このため、ご対応は不要です。

なし

ベアメタル版 GKE

説明 重大度

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Kubelet と Kubernetes CSI プロキシの Windows バージョンに影響します。

必要な対策

GKE on bare metal は、これらの CVE の影響を受けません。このため、ご対応は不要です。

なし

GCP-2023-018

公開日: 2023 年 6 月 27 日
参考情報: CVE-2023-2235

GKE

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE Autopilot ノードは常に Container-Optimized OS ノードイメージを使用するため、GKE Autopilot クラスタが影響を受けます。影響を受けるのは、Container-Optimized OS ノードイメージを実行しているバージョン 1.25 以降の GKE Standard クラスタです。

GKE クラスタは、Ubuntu ノードイメージのみを実行している場合、1.25 より前のバージョンを実行している場合、GKE Sandbox を使用している場合には影響を受けません。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

対処されている脆弱性

CVE-2023-2235 では、perf_group_attach 関数で add_event_to_groups() を呼び出す前にイベントの兄弟 attach_state をチェックしませんでしたが、remove_on_exec によりグループから切断する前に list_del_event() を呼び出すことができるようになり、use-after-free 脆弱性の原因となるダングリング ポインタを使用できるようになりました。

GKE on VMware

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE on VMware クラスタが影響を受けます。

必要な対策

対処されている脆弱性

CVE-2023-2235 では、perf_group_attach 関数で add_event_to_groups() を呼び出す前にイベントの兄弟 attach_state をチェックしませんでしたが、remove_on_exec によりグループから切断する前に list_del_event() を呼び出すことができるようになり、use-after-free 脆弱性の原因となるダングリング ポインタを使用できるようになりました。

GKE on AWS

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE on AWS クラスタが影響を受けます。

必要な対策

このパッチで対処される脆弱性

CVE-2023-2235 では、perf_group_attach 関数で add_event_to_groups() を呼び出す前にイベントの兄弟 attach_state をチェックしませんでしたが、remove_on_exec によりグループから切断する前に list_del_event() を呼び出すことができるようになり、use-after-free 脆弱性の原因となるダングリング ポインタを使用できるようになりました。

GKE on Azure

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE on Azure クラスタが影響を受けます。

必要な対策

このパッチで対処される脆弱性

CVE-2023-2235 では、perf_group_attach 関数で add_event_to_groups() を呼び出す前にイベントの兄弟 attach_state をチェックしませんでしたが、remove_on_exec によりグループから切断する前に list_del_event() を呼び出すことができるようになり、use-after-free 脆弱性の原因となるダングリング ポインタを使用できるようになりました。

ベアメタル版 GKE

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。

Google Distributed Cloud Virtual for Bare Metal は、この CVE の影響を受けません。

必要な対策

このため、ご対応は不要です。

なし

GCP-2023-017

公開日: 2023 年 6 月 26 日
更新日: 2023 年 7 月 11 日
参考情報: CVE-2023-31436

2023 年 7 月 11 日更新: 新しい GKE バージョンが更新され、CVE-2023-31436 にパッチを適用する最新の Ubuntu バージョンが追加されました。

GKE

更新日: 2023 年 7 月 11 日

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。

GKE Sandbox を使用する GKE クラスタは影響を受けません。

必要な対策

2023 年 7 月 11 日更新: Ubuntu パッチ バージョンを利用できます。

CVE-2023-31436 にパッチを適用する最新の Ubuntu バージョンが含まれるように、次の GKE バージョンが更新されました。

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

対処されている脆弱性

CVE-2023-31436 により、ユーザーが lmax として使用したネットワーク デバイスの MTU 値が正しくない qfq_change_class 関数をトリガーするという Linux カーネルのトラフィック コントロール(QoS)サブシステムで、境界外のメモリアクセスの問題が見つかりました。この欠陥により、ローカル ユーザーがシステムの権限をクラッシュさせるか、場合によっては権限を昇格させることができます。

GKE on VMware

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。GKE on VMware クラスタが影響を受けます。

必要な対策

対処されている脆弱性

CVE-2023-31436 により、ユーザーが lmax として使用したネットワーク デバイスの MTU 値が正しくない qfq_change_class 関数をトリガーするという Linux カーネルのトラフィック コントロール(QoS)サブシステムで、境界外のメモリアクセスの問題が見つかりました。この欠陥により、ローカル ユーザーがシステムの権限をクラッシュさせるか、場合によっては権限を昇格させることができます。

GKE on AWS

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。GKE on AWS クラスタが影響を受けます。

必要な対策

このパッチで対処される脆弱性

CVE-2023-31436 により、ユーザーが lmax として使用したネットワーク デバイスの MTU 値が正しくない qfq_change_class 関数をトリガーするという Linux カーネルのトラフィック コントロール(QoS)サブシステムで、境界外のメモリアクセスの問題が見つかりました。この欠陥により、ローカル ユーザーがシステムの権限をクラッシュさせるか、場合によっては権限を昇格させることができます。

GKE on Azure

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。GKE on Azure クラスタが影響を受けます。

必要な対策

このパッチで対処される脆弱性

CVE-2023-31436 により、ユーザーが lmax として使用したネットワーク デバイスの MTU 値が正しくない qfq_change_class 関数をトリガーするという Linux カーネルのトラフィック コントロール(QoS)サブシステムで、境界外のメモリアクセスの問題が見つかりました。この欠陥により、ローカル ユーザーがシステムの権限をクラッシュさせるか、場合によっては権限を昇格させることができます。

ベアメタル版 GKE

説明 重大度

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。

Google Distributed Cloud Virtual for Bare Metal は、この CVE の影響を受けません。

必要な対策

このため、ご対応は不要です。

なし

GCP-2023-016

公開日: 2023 年 6 月 26 日
参考情報: CVE-2023-27496CVE-2023-27488CVE-2023-27493CVE-2023-27492CVE-2023-27491CVE-2023-27487

GKE

説明 重大度

Envoy で、Anthos Service Mesh(ASM)で使用されている脆弱性がいくつか検出されました。これらは GCP-2023-002 として個別に報告されました。

GKE は ASM に付属しておらず、これらの脆弱性の影響を受けません。

必要な対策

GKE クラスタに ASM を別途インストールしている場合は、GCP-2023-002 をご覧ください。

なし

GKE on VMware

説明 重大度

Envoy で多数の脆弱性(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)が発見されましたこれは、GKE on VMware の Anthos Service Mesh で使用され、悪意のある攻撃者がサービス拒否攻撃や Envoy のクラッシュを引き起こす可能性があります。これらは GCP-2023-002 として個別に報告されていますが、GKE Enterprise のお客様は ASM を含むバージョンを更新できるようにしたいと考えています。

必要な対策

以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

  • 1.13.8
  • 1.14.5
  • 1.15.1

このパッチで対処される脆弱性

CVE-2023-27496: Envoy が OAuth フィルタを公開して実行している場合、悪意のあるアクターが Envoy をクラッシュすることでサービス拒否攻撃を引き起こすリクエストを作成できます。

CVE-2023-27488: 攻撃者は、ext_authz が使用されているときに、この脆弱性を使用して認証チェックをバイパスできます。

CVE-2023-27493: Envoy の構成には、ピア証明書 SAN など、リクエストからの入力を使用して生成されたリクエスト ヘッダーを追加するオプションも含める必要があります。

CVE-2023-27492: 攻撃者は、Lua フィルタを有効にしているルートに対して大きなリクエスト本文を送信し、クラッシュをトリガーすることができます。

CVE-2023-27491: 攻撃者が、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させる可能性があります。

CVE-2023-27487: ヘッダー x-envoy-original-path は内部ヘッダーである必要がありますが、信頼できないクライアントから送信された場合、Envoy はリクエスト処理の開始時にこのヘッダーをリクエストから削除しません。

GKE on AWS

説明 重大度

Envoy で多数の脆弱性(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)が発見されました。Anthos Service Mesh で使用されます。これらは GCP-2023-002 として個別に報告されました。

GKE on AWS は ASM に付属しておらず、影響を受けません。

必要な対策

このため、ご対応は不要です。

なし

GKE on Azure

説明 重大度

Envoy で多数の脆弱性(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)が発見されました。Anthos Service Mesh で使用されます。これらは GCP-2023-002 として個別に報告されました。

GKE on Azure は ASM に付属しておらず、影響を受けません。

必要な対策

このため、ご対応は不要です。

なし

ベアメタル版 GKE

説明 重大度

Envoy で多数の脆弱性(CVE-2023-27496、CVE-2023-27488、CVE-2023-27493、CVE-2023-27492、CVE-2023-27491、CVE-2023-27487)が発見されましたこれは、ベアメタル版 GKE の Anthos Service Mesh で使用され、悪意のある攻撃者がサービス拒否攻撃や Envoy のクラッシュを引き起こす可能性があります。これらは GCP-2023-002 として個別に報告されていますが、GKE Enterprise のお客様は ASM を含むバージョンを更新できるようにしたいと考えています。

必要な対策

次のバージョンの ベアメタル版 GKE は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のいずれかのベアメタル版 GKE バージョンにアップグレードすることをおすすめします。

  • 1.13.9
  • 1.14.6
  • 1.15.2

このパッチで対処される脆弱性

CVE-2023-27496: Envoy が OAuth フィルタを公開して実行している場合、悪意のあるアクターが Envoy をクラッシュすることでサービス拒否攻撃を引き起こすリクエストを作成できます。

CVE-2023-27488: 攻撃者は、ext_authz が使用されているときに、この脆弱性を使用して認証チェックをバイパスできます。

CVE-2023-27493: Envoy の構成には、ピア証明書 SAN など、リクエストからの入力を使用して生成されたリクエスト ヘッダーを追加するオプションも含める必要があります。

CVE-2023-27492: 攻撃者は、Lua フィルタを有効にしているルートに対して大きなリクエスト本文を送信し、クラッシュをトリガーすることができます。

CVE-2023-27491: 攻撃者が、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させる可能性があります。

CVE-2023-27487: ヘッダー x-envoy-original-path は内部ヘッダーである必要がありますが、信頼できないクライアントから送信された場合、Envoy はリクエスト処理の開始時にこのヘッダーをリクエストから削除しません。

GCP-2023-015

公開日: 2023 年 6 月 20 日
参考情報: CVE-2023-0468

GKE

説明 重大度

Linux カーネルのバージョン 5.15 で、ノードでサービス拒否を引き起こす可能性がある新しい脆弱性(CVE-2023-0468)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。

GKE Sandbox を使用する GKE クラスタは影響を受けません。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

対処されている脆弱性

CVE-2023-0468 では、Linux カーネルの io_uring サブコンポーネントで、io_poll_check_events の io_uring/poll.c で use-after-free の不具合が見つかりました。この欠陥により、NULL ポインタの逆参照が起こり、システムがクラッシュしてサービス拒否が発生する可能性があります。

GKE on VMware

説明 重大度

Linux カーネルのバージョン 5.15 で、ノードでサービス拒否を引き起こす可能性がある新しい脆弱性(CVE-2023-0468)が見つかりました。

GKE on VMware は Linux カーネルのバージョン 5.4 を使用するため、この CVE の影響を受けません。

必要な対策

  • なんらかのご対応を行っていただく必要はありません
なし

GKE on AWS

説明 重大度

Linux カーネルのバージョン 5.15 で、ノードでサービス拒否を引き起こす可能性がある新しい脆弱性(CVE-2023-0468)が見つかりました。

GKE on AWS は、この CVE の影響を受けません。

必要な対策

  • なんらかのご対応を行っていただく必要はありません
なし

GKE on Azure

説明 重大度

Linux カーネルのバージョン 5.15 で、ノードでサービス拒否を引き起こす可能性がある新しい脆弱性(CVE-2023-0468)が見つかりました。

GKE on Azure は、この CVE の影響を受けません。

必要な対策

  • なんらかのご対応を行っていただく必要はありません
なし

ベアメタル版 GKE

説明 重大度

Linux カーネルのバージョン 5.15 で、ノードでサービス拒否を引き起こす可能性がある新しい脆弱性(CVE-2023-0468)が見つかりました。

Google Distributed Cloud Virtual for Bare Metal は、この CVE の影響を受けません。

必要な対策

  • なんらかのご対応を行っていただく必要はありません
なし

GCP-2023-014

公開日: 2023 年 6 月 15 日
更新日: 2023 年 8 月 11 日
参考情報: CVE-2023-2727CVE-2023-2728

2023 年 8 月 11 日更新: GKE on VMware、GKE on AWS、GKE on Azure、ベアメタル版 GKE のパッチ バージョンを追加しました。

GKE

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。

GKE は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません。

GKE のすべてのバージョンは CVE-2023-2728 に対して脆弱になる可能性があります。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース チャンネル固有のデフォルトになるまで、ノードを保護できます。

対処されている脆弱性

CVE-2023-2727 により、ユーザーはエフェメラル コンテナの使用時に ImagePolicyWebhook で制限されているイメージを使用してコンテナを起動できる場合があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。また、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することで、この CVE を軽減することもできます。

CVE-2023-2728 では、ユーザーがエフェメラル コンテナを使用する場合に、ServiceAccount アドミッション プラグインによって適用されるマウント可能なシークレット ポリシーを回避するコンテナを起動できる場合があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの Secret フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションはサービス アカウントで使用されます。このアノテーションは、デフォルトでは追加されません。
  • Pod がエフェメラル コンテナを使用している。

GKE on VMware

更新日: 2023 年 8 月 11 日

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。Anthos on VMware は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません。

Anthos on VMware のすべてのバージョンは CVE-2023-2728 に対して脆弱になる可能性があります。

必要な対策

2023 年 8 月 11 日更新: GKE on VMware の次のバージョンがこの脆弱性を修正するコードで更新されました。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードしてください。

  • 1.13.10
  • 1.14.6
  • 1.15.3

対処されている脆弱性

CVE-2023-2727 により、ユーザーはエフェメラル コンテナの使用時に ImagePolicyWebhook で制限されているイメージを使用してコンテナを起動できる場合があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。また、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することで、この CVE を軽減することもできます。

CVE-2023-2728 では、ユーザーがエフェメラル コンテナを使用する場合に、ServiceAccount アドミッション プラグインによって適用されるマウント可能なシークレット ポリシーを回避するコンテナを起動できる場合があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの Secret フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションはサービス アカウントで使用されます。このアノテーションは、デフォルトでは追加されません。
  • Pod がエフェメラル コンテナを使用している。

GKE on AWS

更新日: 2023 年 8 月 11 日

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。
Anthos on AWS は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません。
Anthos on AWS のすべてのバージョンは CVE-2023-2728 に対して脆弱になる可能性があります。

必要な対策

2023 年 8 月 11 日更新: GKE on AWS の次のバージョンがこの脆弱性を修正するコードで更新されました。ノードを次の GKE on AWS バージョンにアップグレードしてください。

  • 1.15.2

対処されている脆弱性

CVE-2023-2727 により、ユーザーはエフェメラル コンテナの使用時に ImagePolicyWebhook で制限されているイメージを使用してコンテナを起動できる場合があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。また、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することで、この CVE を軽減することもできます。

CVE-2023-2728 では、ユーザーがエフェメラル コンテナを使用する場合に、ServiceAccount アドミッション プラグインによって適用されるマウント可能なシークレット ポリシーを回避するコンテナを起動できる場合があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの Secret フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションはサービス アカウントで使用されます。このアノテーションは、デフォルトでは追加されません。
  • Pod がエフェメラル コンテナを使用している。

GKE on Azure

更新日: 2023 年 8 月 11 日

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。
Anthos on Azure は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません。
Anthos on Azure のすべてのバージョンは CVE-2023-2728 に対して脆弱でになる可能性があります。

必要な対策

2023 年 8 月 11 日更新: 次のバージョンの GKE on Azure は、この脆弱性を修正するコードで更新されています。ノードを次の GKE on Azure バージョンにアップグレードしてください。

  • 1.15.2

対処されている脆弱性

CVE-2023-2727 により、ユーザーはエフェメラル コンテナの使用時に ImagePolicyWebhook で制限されているイメージを使用してコンテナを起動できる場合があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。また、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することで、この CVE を軽減することもできます。

CVE-2023-2728 では、ユーザーがエフェメラル コンテナを使用する場合に、ServiceAccount アドミッション プラグインによって適用されるマウント可能なシークレット ポリシーを回避するコンテナを起動できる場合があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの Secret フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションはサービス アカウントで使用されます。このアノテーションは、デフォルトでは追加されません。
  • Pod がエフェメラル コンテナを使用している。

ベアメタル版 GKE

更新日: 2023 年 8 月 11 日

説明 重大度

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。
ベアメタル版 Anthos は ImagePolicyWebhook を使用せず、CVE-2023-2727 の影響を受けません
Anthos on bare metal のすべてのバージョンは、CVE-2023-2728 に対して脆弱になる可能性があります。

必要な対策

2023 年 8 月 11 日更新: 次のバージョンの Google Distributed Cloud Virtual for Bare Metal が、この脆弱性を修正するコードで更新されました。ノードを、次のいずれかの Google Distributed Cloud Virtual for Bare Metal バージョンにアップグレードしてください。

  • 1.13.9
  • 1.14.7
  • 1.15.3

対処されている脆弱性

CVE-2023-2727 により、ユーザーはエフェメラル コンテナの使用時に ImagePolicyWebhook で制限されているイメージを使用してコンテナを起動できる場合があります。Kubernetes クラスタが影響を受けるのは、ImagePolicyWebhook アドミッション プラグインがエフェメラル コンテナとともに使用されている場合のみです。また、Gatekeeper や Kyverno などの検証 Webhook を使用して同じ制限を適用することで、この CVE を軽減することもできます。

CVE-2023-2728 では、ユーザーがエフェメラル コンテナを使用する場合に、ServiceAccount アドミッション プラグインによって適用されるマウント可能なシークレット ポリシーを回避するコンテナを起動できる場合があります。このポリシーにより、サービス アカウントで実行されている Pod は、サービス アカウントの Secret フィールドで指定された Secret のみを参照できます。次の場合、クラスタはこの脆弱性の影響を受けます。

  • ServiceAccount アドミッション プラグインが使用されます。
  • kubernetes.io/enforce-mountable-secrets アノテーションはサービス アカウントで使用されます。このアノテーションは、デフォルトでは追加されません。
  • Pod がエフェメラル コンテナを使用している。

GCP-2023-009

公開日: 2023 年 6 月 6 日
参考情報: CVE-2023-2878

GKE

説明 重大度

新しい脆弱性(CVE-2023-2878)が secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる行為者がサービス アカウント トークンを監視できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。

GKE はこの CVE の影響を受けません。

必要な対策

GKE は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

脆弱性「CVE-2023-2878」が Secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる操作者がサービス アカウント トークンを観察できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。トークンは、TokenRequests が CSIDriver オブジェクトで構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行されるように設定されている場合にのみ、ログに記録されます。

なし

GKE on VMware

説明 重大度

新しい脆弱性(CVE-2023-2878)が secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる行為者がサービス アカウント トークンを監視できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。

GKE on VMware は、この CVE の影響を受けません。

必要な対策

GKE on VMware は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

脆弱性「CVE-2023-2878」が Secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる操作者がサービス アカウント トークンを観察できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。トークンは、TokenRequests が CSIDriver オブジェクトで構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行されるように設定されている場合にのみ、ログに記録されます。

なし

GKE on AWS

説明 重大度

新しい脆弱性(CVE-2023-2878)が secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる行為者がサービス アカウント トークンを監視できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。

GKE on AWS は、この CVE の影響を受けません。

必要な対策

GKE on AWS は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

脆弱性「CVE-2023-2878」が Secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる操作者がサービス アカウント トークンを観察できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。トークンは、TokenRequests が CSIDriver オブジェクトで構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行されるように設定されている場合にのみ、ログに記録されます。

なし

GKE on Azure

説明 重大度

新しい脆弱性(CVE-2023-2878)が secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる行為者がサービス アカウント トークンを監視できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。

GKE on Azure は、この CVE の影響を受けません

必要な対策

GKE on Azure は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

脆弱性「CVE-2023-2878」が Secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる操作者がサービス アカウント トークンを観察できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。トークンは、TokenRequests が CSIDriver オブジェクトで構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行されるように設定されている場合にのみ、ログに記録されます。

なし

ベアメタル版 GKE

説明 重大度

新しい脆弱性(CVE-2023-2878)が secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる行為者がサービス アカウント トークンを監視できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。

GKE on bare metal は、この CVE の影響を受けません。

必要な対策

ベアメタル版 GKE は影響を受けませんが、secrets-store-csi-driver コンポーネントをインストールしている場合は、パッチ適用済みバージョンでインストールを更新する必要があります。

このパッチで対処される脆弱性

脆弱性「CVE-2023-2878」が Secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる操作者がサービス アカウント トークンを観察できるというものです。その後、これらのトークンを外部のクラウド プロバイダと交換して、Cloud Vault ソリューションに保存されているシークレットにアクセスできます。トークンは、TokenRequests が CSIDriver オブジェクトで構成され、ドライバが -v フラグを使用してログレベル 2 以上で実行されるように設定されている場合にのみ、ログに記録されます。

なし

GCP-2023-008

公開日: 2023 年 6 月 5 日
参考情報: CVE-2023-1872

GKE

説明 重大度

Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性が見つかりました。GKE Standard クラスタと Autopilot クラスタが影響を受けます。

GKE Sandbox を使用するクラスタは影響を受けません。

必要な対策

次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

このパッチで対処される脆弱性

CVE-2023-1872 は、Linux カーネルの io_uring サブシステムにある use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。io_file_get_fixed 関数に ctx->uring_lock はありません。これにより、固定ファイルが登録解除される競合状態により、use-after-free の脆弱性が発生する可能性があります。

GKE on VMware

説明 重大度

Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性が見つかりました。

必要な対策

このパッチで対処される脆弱性

CVE-2023-1872 は、Linux カーネルの io_uring サブシステムにある use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。io_file_get_fixed 関数に ctx->uring_lock はありません。これにより、固定ファイルが登録解除される競合状態により、use-after-free の脆弱性が発生する可能性があります。

GKE on AWS

説明 重大度

Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性が見つかりました。

必要な対策

これらの脆弱性を修正するコードにより、次のバージョンの GKE on AWS が更新されました。

  • 1.15.1
  • このパッチで対処される脆弱性

    CVE-2023-1872 は、Linux カーネルの io_uring サブシステムにある use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。io_file_get_fixed 関数に ctx->uring_lock はありません。これにより、固定ファイルが登録解除される競合状態により、use-after-free の脆弱性が発生する可能性があります。

    GKE on Azure

    説明 重大度

    Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性が見つかりました。

    必要な対策

    次の GKE on Azure のバージョンは、これらの脆弱性を修正するコードで更新されています。

  • 1.15.1
  • このパッチで対処される脆弱性

    CVE-2023-1872 は、Linux カーネルの io_uring サブシステムにある use-after-free の脆弱性で、ローカルの権限昇格に悪用される可能性があります。io_file_get_fixed 関数に ctx->uring_lock はありません。これにより、固定ファイルが登録解除される競合状態により、use-after-free の脆弱性が発生する可能性があります。

    ベアメタル版 GKE

    説明 重大度

    Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性が見つかりました。

    GKE on bare metal は、この CVE の影響を受けません。

    必要な対策

    対応は不要です。

    なし

    GCP-2023-005

    公開日: 2023 年 5 月 18 日
    更新日: 2023 年 6 月 6 日
    参考情報: CVE-2023-1281CVE-2023-1829

    2023 年 6 月 6 日更新: 新しい GKE バージョンが更新され、CVE-2023-1281 と CVE-2023-1829 にパッチを適用する最新の Ubuntu バージョンが追加されました。

    GKE

    更新日: 2023 年 6 月 6 日

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。GKE Standard クラスタが影響を受けます。

    GKE Autopilot クラスタと GKE Sandbox を使用するクラスタは影響を受けません。

    必要な対策

    2023 年 6 月 6 日更新: Ubuntu パッチ バージョンを利用できます。

    次の GKE バージョンが更新され、CVE-2023-1281 と CVE-2023-1829 にパッチを適用する最新の Ubuntu バージョンが含まれています。

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタとノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2023-1281 と CVE-2023-1829 はどちらも、Linux Kernel トラフィック制御インデックス フィルタ(tcindex)の use-after-free の脆弱性であり、ローカル権限昇格の悪用に利用できます。

    CVE-2023-1829 では、tcindex_delete 関数がフィルタを適切に無効化しないケースがあり、後でデータ構造の二重解放につながる可能性があります。

    CVE-2023-1281 では、パケットが走査している間に不完全なハッシュ領域が更新され、破棄された tcf_ext とともに tcf_exts_exec() が呼び出されたときに use-after-free が発生する可能性があります。ローカル攻撃者は、この脆弱性を利用して、権限を root に昇格させることができます。

    GKE on VMware

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

    必要な対策

    このパッチで対処される脆弱性

    CVE-2023-1281 と CVE-2023-1829 はどちらも、Linux Kernel トラフィック トラフィック制御インデックス フィルタ(tcindex)の use-after-free の脆弱性であり、ローカル権限昇格の悪用に利用できます。

    CVE-2023-1829 では、tcindex_delete 関数がフィルタを適切に無効化しないケースがあり、後でデータ構造の二重解放につながる可能性があります。

    CVE-2023-1281 では、パケットが走査している間に不完全なハッシュ領域が更新され、破棄された tcf_ext とともに tcf_exts_exec() が呼び出されたときに use-after-free が発生する可能性があります。ローカル攻撃者は、この脆弱性を利用して、権限を root に昇格させることができます。

    GKE on AWS

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

    必要な対策

    このパッチで対処される脆弱性

    CVE-2023-1281 と CVE-2023-1829 はどちらも、Linux Kernel トラフィック トラフィック制御インデックス フィルタ(tcindex)の use-after-free の脆弱性であり、ローカル権限昇格の悪用に利用できます。

    CVE-2023-1829 では、tcindex_delete 関数がフィルタを適切に無効化しないケースがあり、後でデータ構造の二重解放につながる可能性があります。

    CVE-2023-1281 では、パケットが走査している間に不完全なハッシュ領域が更新され、破棄された tcf_ext とともに tcf_exts_exec() が呼び出されたときに use-after-free が発生する可能性があります。ローカル攻撃者は、この脆弱性を利用して、権限を root に昇格させることができます。

    GKE on Azure

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

    必要な対策

    このパッチで対処される脆弱性

    CVE-2023-1281 と CVE-2023-1829 はどちらも、Linux Kernel トラフィック トラフィック制御インデックス フィルタ(tcindex)の use-after-free の脆弱性であり、ローカル権限昇格の悪用に利用できます。

    CVE-2023-1829 では、tcindex_delete 関数がフィルタを適切に無効化しないケースがあり、後でデータ構造の二重解放につながる可能性があります。

    CVE-2023-1281 では、パケットが走査している間に不完全なハッシュ領域が更新され、破棄された tcf_ext とともに tcf_exts_exec() が呼び出されたときに use-after-free が発生する可能性があります。ローカル攻撃者は、この脆弱性を利用して、権限を root に昇格させることができます。

    ベアメタル版 GKE

    説明 重大度

    Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

    GKE on bare metal は、この CVE の影響を受けません。

    必要な対策

    対応は不要です。

    なし

    GCP-2023-003

    公開日: 2023 年 4 月 11 日
    更新日: 2023 年 12 月 21 日
    参考情報: CVE-2022-0240CVE-2023-23586

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

    GKE

    更新日: 2023 年 12 月 21 日

    説明 重大度

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。Linux カーネル バージョン 5.10 から 5.10.162 までの COS を使用した GKE クラスタ(Autopilot クラスタを含む)が影響を受けます。Ubuntu イメージや GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    次のバージョンの GKE は、これらの脆弱性を修正するコードで更新されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    脆弱性 1(CVE-2023-0240): io_uring で競合状態があると、コンテナが完全にノード上で root にブレークアウトされる可能性があります。Linux カーネル バージョン 5.10 は 5.10.162 まで影響を受けます。

    脆弱性 2(CVE-2023-23586): io_uring/time_ns でのフリー(UAF)使用後に、ノード上で root への完全なコンテナ ブレークアウトが発生する可能性があります。Linux カーネル バージョン 5.10 は 5.10.162 まで影響を受けます。

    GKE on VMware

    説明 重大度

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。Linux カーネル バージョン 5.10 と 5.10.162 を使用する COS を使用した GKE on VMware クラスタが影響を受けます。Ubuntu イメージを使用する GKE Enterprise クラスタは影響を受けません。

    必要な対策

    これらの脆弱性を修正するコードにより、次のバージョンの GKE on VMware が更新されました。

    • 1.12.6
    • 1.13.5

    このパッチで対処される脆弱性

    脆弱性 1(CVE-2023-0240): io_uring で競合状態があると、コンテナが完全にノード上で root にブレークアウトされる可能性があります。Linux カーネル バージョン 5.10 は 5.10.162 まで影響を受けます。

    脆弱性 2(CVE-2023-23586): io_uring/time_ns でのフリー(UAF)使用後に、ノード上で root への完全なコンテナ ブレークアウトが発生する可能性があります。Linux カーネル バージョン 5.10 は 5.10.162 まで影響を受けます。

    GKE on AWS

    説明 重大度

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。GKE on AWS は、これらの CVE の影響を受けません。

    必要な対策

    対応は不要です。

    なし

    GKE on Azure

    説明 重大度

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。GKE on Azure はこれらの CVE の影響を受けない

    必要な対策

    対応は不要です。

    なし

    ベアメタル版 GKE

    説明 重大度

    Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。GKE on bare metal は、これらの CVE の影響を受けません。

    必要な対策

    対応は不要です。

    なし

    GCP-2023-001

    公開日: 2023 年 3 月 1 日
    更新日: 2023 年 12 月 21 日
    参考情報: CVE-2022-4696

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

    GKE

    説明 重大度

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、クラスタおよびノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-4696 により、Linux カーネルの io_uring と ioring_op_splice で use-after-free の不具合が見つかりました。この欠陥により、ローカル ユーザーがローカルで権限昇格を作成できます。

    GKE on VMware

    説明 重大度

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。v1.12 と v1.13 を実行する GKE on VMware は影響を受けます。v1.14 以降を実行している GKE on VMware は影響を受けません。

    必要な対策

    以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.12.5
    • 1.13.5

    このパッチで対処される脆弱性

    CVE-2022-4696 により、Linux カーネルの io_uring と ioring_op_splice で use-after-free の不具合が見つかりました。この欠陥により、ローカル ユーザーがローカルで権限昇格を作成できます。

    GKE on AWS

    説明 重大度

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。GKE on AWS は、この脆弱性の影響を受けません。

    必要な対策

    このため、ご対応は不要です。

    なし

    GKE on Azure

    説明 重大度

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。GKE on Azure は、この脆弱性の影響を受けません。

    必要な対策

    このため、ご対応は不要です。

    なし

    ベアメタル版 GKE

    説明 重大度

    Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。GKE on bare metal は、この脆弱性の影響を受けません。

    必要な対策

    このため、ご対応は不要です。

    なし

    GCP-2022-026

    公開: 2023 年 1 月 11 日
    参照: CVE-2022-3786CVE-2022-3602

    GKE

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。NVD データベースでは「高」と評価されていますが、GKE エンドポイントでは boringSSL または古いバージョンの OpenSSL が使用され、影響を受けません。そのため、GKE の評価は「中」に下げられました。

    必要な対策

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-3786 と CVE-2022-3602 では、X.509 証明書の検証でバッファ オーバーランがトリガーされ、クラッシュしてサービス拒否が発生する可能性があります。この脆弱性を悪用するには、CA が悪意のある証明書に署名しているか、信頼できる発行元へのパスの作成に失敗した場合でも、アプリケーションが証明書の検証を続行する必要があります。

    GKE on VMware

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

    必要な対策

    GKE on VMware は、影響を受けるバージョンの OpenSSL を使用しないため、この CVE の影響を受けません。

    このパッチで対処される脆弱性

    対応は不要です。

    なし

    GKE on AWS

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

    必要な対策

    GKE on AWS は、影響を受けるバージョンの OpenSSL を使用しないため、この CVE の影響を受けません。

    このパッチで対処される脆弱性

    対応は不要です。

    なし

    GKE on Azure

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

    必要な対策

    GKE on Azure は、影響を受けるバージョンの OpenSSL を使用しないため、この CVE の影響を受けません。

    このパッチで対処される脆弱性

    対応は不要です。

    なし

    ベアメタル版 GKE

    説明 重大度

    OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

    必要な対策

    GKE on bare metal は、影響を受けるバージョンの OpenSSL を使用しないため、この CVE の影響を受けません。

    このパッチで対処される脆弱性

    対応は不要です。

    なし

    GCP-2022-025

    公開日: 2022 年 12 月 21 日
    更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日
    参考情報: CVE-2022-2602

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

    2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 を利用できます。

    GKE

    更新日: 2023 年 1 月 19 日

    説明 重大度

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。

    GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    2023 年 1 月 19 日更新: バージョン 1.21.14-gke.14100 を利用できます。ノードプールをこのバージョン以降にアップグレードします。


    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • Container-Optimized OS:
      • 1.22.16-gke.1300 以降
      • 1.23.14-gke.401 以降
      • 1.24.7-gke.900 以降
      • 1.25.4-gke.1600 以降
    • Ubuntu:
      • 1.22.15-gke.2500 以降
      • 1.23.13-gke.900 以降
      • 1.24.7-gke.900 以降
      • 1.25.3-gke.800 以降

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-2602 により、io_uring リクエストの処理と Unix ソケット ガベージ コレクションの競合状態によって、use-after-free の脆弱性が生じる可能性があります。ローカルの攻撃者がこれを利用して、サービス拒否をトリガーしたり、任意のコードを実行したりする可能性があります。

    GKE on VMware

    説明 重大度

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。

    GKE on VMware のバージョン 1.11、1.12、1.13 に影響があります。

    必要な対策

    クラスタをパッチ適用済みバージョンにアップグレードします。次のバージョンの GKE on VMware には、この脆弱性を修正するコードが含まれています。

    • 1.13.2
    • 1.12.4
    • 1.11.5

    このパッチで対処される脆弱性

    CVE-2022-2602 により、io_uring リクエストの処理と Unix ソケット ガベージ コレクションの競合状態によって、use-after-free の脆弱性が生じる可能性があります。ローカルの攻撃者がこれを利用して、サービス拒否をトリガーしたり、任意のコードを実行したりする可能性があります。

    GKE on AWS

    説明 重大度

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。

    必要な対策

    GKE on AWS の現行バージョンと以前のバージョンは、この脆弱性を修正するコードで更新されています。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    • 現行世代:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • 前の世代:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    このパッチで対処される脆弱性

    CVE-2022-2602 により、io_uring リクエストの処理と Unix ソケット ガベージ コレクションの競合状態によって、use-after-free の脆弱性が生じる可能性があります。ローカルの攻撃者がこれを利用して、サービス拒否をトリガーしたり、任意のコードを実行したりする可能性があります。

    GKE on Azure

    説明 重大度

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。

    必要な対策

    次のバージョンの GKE on Azure は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    このパッチで対処される脆弱性

    CVE-2022-2602 により、io_uring リクエストの処理と Unix ソケット ガベージ コレクションの競合状態によって、use-after-free の脆弱性が生じる可能性があります。ローカルの攻撃者がこれを利用して、サービス拒否をトリガーしたり、任意のコードを実行したりする可能性があります。

    ベアメタル版 GKE

    説明 重大度

    Linux カーネルの io_uring サブシステムで、攻撃者が任意のコードを実行できる可能性がある新しい脆弱性(CVE-2022-2602)が見つかりました。

    GKE on Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、この CVE の影響を受けません。

    必要な対策

    対応は不要です。

    なし

    GCP-2022-024

    公開日: 2022 年 11 月 9 日
    更新日: 2022 年 1 月 19 日
    参考情報: CVE-2022-2585CVE-2022-2588

    2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 を利用できます。
    2022 年 12 月 16 日更新: GKE と GKE on VMware のパッチ バージョンを改定しました。

    GKE

    更新日: 2023 年 1 月 19 日

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。Autopilot クラスタを含む GKE クラスタが影響を受けます。

    GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    2023 年 1 月 19 日更新: バージョン 1.21.14-gke.14100 を利用できます。ノードプールをこのバージョン以降にアップグレードします。

    2022 年 12 月 16 日更新: リリース回帰が原因で、以前のバージョンに関する情報が改定されました。ノードプールを次のいずれかの GKE バージョンに手動でアップグレードしてください。

    • 1.22.16-gke.1300 以降
    • 1.23.14-gke.401 以降
    • 1.24.7-gke.900 以降
    • 1.25.4-gke.1600 以降

    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    GKE v1.22、1.23、1.25 の更新はまもなく利用できるようになります。このセキュリティに関する情報は、利用可能になり次第、更新されます。

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    • CVE-2022-2585 では、posix CPU タイマーのタイマーの不適切なクリーンアップにより、タイマーの作成方法と削除方法に応じて use-after-free エクスプロイトが許可されます。
    • CVE-2022-2588 で、Linux カーネルの route4_change に use-after-free 不具合がありました。この欠陥により、ローカル ユーザーがシステムをクラッシュできるようになり、ローカルでの権限昇格につながる可能性があります。

    GKE on VMware

    更新日: 2022 年 12 月 16 日

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

    GKE on VMware のバージョン 1.13、1.12、1.11 に影響があります。

    必要な対策

    2022 年 12 月 16 日更新: GKE on VMware の次のバージョンがこの脆弱性を修正するコードで更新されました。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • 注: Container-Optimized OS パッチを含む GKE on VMware のバージョンは、まもなくリリースされます。このセキュリティに関する情報は、GKE on VMware のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    • CVE-2022-2585 では、posix CPU タイマーのタイマーの不適切なクリーンアップにより、タイマーの作成方法と削除方法に応じて use-after-free エクスプロイトが許可されます。
    • CVE-2022-2588 で、Linux カーネルの route4_change に use-after-free 不具合がありました。この欠陥により、ローカル ユーザーがシステムをクラッシュできるようになり、ローカルでの権限昇格につながる可能性があります。

    GKE on AWS

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

    次のバージョンの Kubernetes on AWS が影響を受ける可能性があります。

    • 1.23: 1.23.9-gke.800 より古いバージョン 新しいマイナー バージョンは影響を受けません。
    • 1.22: 1.22.12-gke.1100 より古いバージョン 新しいマイナー バージョンは影響を受けません。

    Kubernetes V1.24 は影響を受けません。

    必要な対策

    クラスタは、次のいずれかの AWS Kubernetes バージョンにアップグレードすることをおすすめします。

    • 1.23: v1.23.9-gke.800 より後のバージョン
    • 1.22: 1.22.12-gke-1100 より後のバージョン

    対処されている脆弱性

    CVE-2022-2585 では、posix CPU タイマーのタイマーの不適切なクリーンアップにより、タイマーの作成方法と削除方法に応じて use-after-free エクスプロイトが許可されます。

    CVE-2022-2588 で、Linux カーネルの route4_change に use-after-free 不具合がありました。この欠陥により、ローカル ユーザーがシステムをクラッシュできるようになり、ローカルでの権限昇格につながる可能性があります。

    GKE on Azure

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

    次のバージョンの Kubernetes on Azure が影響を受ける可能性があります。

    • 1.23: 1.23.9-gke.800 より古いバージョン 新しいマイナー バージョンは影響を受けません。
    • 1.22: 1.22.12-gke.1100 より古いバージョン 新しいマイナー バージョンは影響を受けません。

    Kubernetes V1.24 は影響を受けません。

    必要な対策

    クラスタは、次のいずれかの Azure Kubernetes バージョンにアップグレードすることをおすすめします。

    • 1.23: v1.23.9-gke.800 より後のバージョン
    • 1.22: 1.22.12-gke-1100 より後のバージョン

    対処されている脆弱性

    CVE-2022-2585 では、posix CPU タイマーのタイマーの不適切なクリーンアップにより、タイマーの作成方法と削除方法に応じて use-after-free エクスプロイトが許可されます。

    CVE-2022-2588 で、Linux カーネルの route4_change に use-after-free 不具合がありました。この欠陥により、ローカル ユーザーがシステムをクラッシュできるようになり、ローカルでの権限昇格につながる可能性があります。

    ベアメタル版 GKE

    説明 重大度

    Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

    GKE on Bare Metal は、ディストリビューションにオペレーティング システムが含まれていないため、この CVE の影響を受けません。

    必要な対策

    対応は不要です。

    なし

    GCP-2022-023

    公開日: 2022 年 11 月 4 日
    参考情報: CVE-2022-39278

    GKE

    説明 重大度

    Istio でセキュリティ脆弱性、CVE-2022-39278 が発見されました。これは、Anthos Service Mesh で使用され、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。

    必要な対策

    Google Kubernetes Engine(GKE)は Istio に付属しておらず、この脆弱性の影響を受けません。ただし、GKE クラスタに Anthos Service Mesh または Istio を個別にインストールしている場合は、CVE-2022-020(こちらの CVE の Anthos Service Mesh セキュリティ情報)をご覧ください。

    なし

    GKE on VMware

    説明 重大度

    Istio on VMware の Anthos Service Mesh で使用されているセキュリティ上の脆弱性 CVE-2022-39278 が発見されました。これは、悪意のある攻撃者が Istio コントロール プレーンをクラッシュさせることができるというものです。

    必要な対策

    以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.11.4
    • 1.12.3
    • 1.13.1

    このパッチで対処される脆弱性

    脆弱性 CVE-2022-39278 により、Istio コントロール プレーン istiod はリクエスト処理中のエラーに対して脆弱であり、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が一般公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

    GKE on AWS

    説明 重大度

    Istio でセキュリティ脆弱性(CVE-2022-39278)が見つかりました。これは、Anthos Service Mesh で使用され、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。

    必要な対策

    GKE on AWS はこの脆弱性の影響を受けないため、アクションは不要です。

    なし

    GKE on Azure

    説明 重大度

    Istio でセキュリティ脆弱性、CVE-2022-39278 が発見されました。これは、Anthos Service Mesh で使用され、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。

    必要な対策

    GKE on Azure はこの脆弱性の影響を受けず、何もする必要はありません。

    なし

    ベアメタル版 GKE

    説明 重大度

    Istio で、ベアメタル版 GKE の Anthos Service Mesh で使用されているセキュリティ上の脆弱性 CVE-2022-39278 が発見されました。これは、悪意のある攻撃者が Istio コントロール プレーンをクラッシュさせることができるというものです。

    必要な対策

    次のバージョンの ベアメタル版 GKE は更新されており、この脆弱性を修正するためのコードが追加されています。クラスタを次のいずれかのベアメタル版 GKE バージョンにアップグレードすることをおすすめします。

    • 1.11.7
    • 1.12.4
    • 1.13.1

    このパッチで対処される脆弱性

    脆弱性 CVE-2022-39278 により、Istio コントロール プレーン istiod はリクエスト処理中のエラーに対して脆弱であり、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が一般公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

    GCP-2022-022-更新

    公開日: 2022 年 12 月 8 日
    参考情報: CVE-2022-20409

    GKE

    更新日: 2022 年 12 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。Container-Optimized OS バージョン 93 と 97 を使用する Google Kubernetes Engine(GKE)v1.22、v1.23、v1.24 クラスタ(Autopilot クラスタを含む)が影響を受けます。サポートされているその他の GKE のバージョンは影響を受けません。GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    2022 年 12 月 14 日更新: セキュリティに関する以前のバージョンが改訂リリースにより修正されました。ノードプールを次のいずれかの GKE バージョンに手動でアップグレードしてください。

    • 1.22.15-gke.2500 以降
    • 1.23.13-gke.900 以降
    • 1.24.7-gke.900 以降

    Container-Optimized OS バージョン 93 と 97 を使用する GKE の以下のバージョンは、今後のリリースでこの脆弱性を修正するコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.15-gke.2300 以降
    • 1.23.13-gke.700 以降
    • 1.24.7-gke.700 以降

    リリース チャンネルの新しい機能により、チャンネルの登録を解除することなくパッチを適用できます。この機能を使用すると、新しいバージョンがリリース固有のチャネルのデフォルトになるまでノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-20409 では、Linux カーネルにおいて、io_uring サブシステムの io_identity_cow に脆弱性が存在します。Use-After-Free(UAF)の脆弱性により、メモリが破損するおそれがあります。ローカルの攻撃者は、このメモリ破損を利用して、サービス拒否(システム クラッシュ)や任意のコードの実行を行う可能性があります。

    GKE on VMware

    更新日: 2022 年 12 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

    必要な対策

    2022 年 12 月 14 日更新: GKE on VMware の次のバージョンがこの脆弱性を修正するコードで更新されました。 ノードを次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.13.1 以降
    • 1.12.3 以降
    • 1.11.4 以降:

    このパッチで対処される脆弱性

    CVE-2022-20409 では、Linux カーネルにおいて、io_uring サブシステムの io_identity_cow に脆弱性が存在します。Use-After-Free(UAF)の脆弱性により、メモリが破損するおそれがあります。ローカルの攻撃者は、このメモリ破損を利用して、サービス拒否(システム クラッシュ)や任意のコードの実行を行う可能性があります。

    GKE on AWS

    説明 重大度

    Linux カーネルで、権限のないユーザーがシステム実行権限に昇格する可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

    必要な対策

    対応は不要です。GKE on AWS は、Linux カーネルの影響を受けるバージョンを使用しません。

    このパッチで対処される脆弱性

    CVE-2022-20409 では、Linux カーネルにおいて、io_uring サブシステムの io_identity_cow に脆弱性が存在します。Use-After-Free(UAF)の脆弱性により、メモリが破損するおそれがあります。ローカルの攻撃者は、このメモリ破損を利用して、サービス拒否(システム クラッシュ)や任意のコードの実行を行う可能性があります。

    なし

    GKE on Azure

    説明 重大度

    Linux カーネルで、権限のないユーザーがシステム実行権限に昇格する可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

    必要な対策

    対応は不要です。GKE on Azure は、影響を受ける Linux カーネルのバージョンを使用しません。

    このパッチで対処される脆弱性

    CVE-2022-20409 では、Linux カーネルにおいて、io_uring サブシステムの io_identity_cow に脆弱性が存在します。Use-After-Free(UAF)の脆弱性により、メモリが破損するおそれがあります。ローカルの攻撃者は、このメモリ破損を利用して、サービス拒否(システム クラッシュ)や任意のコードの実行を行う可能性があります。

    なし

    ベアメタル版 GKE

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

    必要な対策

    • 対応は不要です。GKE on Bare Metal は、ディストリビューションにオペレーティング システムが含まれていないため、この CVE の影響を受けません。
    なし

    GCP-2022-021

    公開日: 2022 年 10 月 27 日
    更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日
    参考情報: CVE-2022-3176

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

    2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 を利用できます。
    2022 年 12 月 15 日更新: Google Kubernetes Engine のバージョン 1.21.14-gke.9400 がロールアウトを保留中であり、高いバージョン番号に置き換えられる可能性があるという情報を更新しました。
    2022 年 11 月 21 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。

    GKE

    更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーがノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Container-Optimized OS バージョン 89 を使用する Google Kubernetes Engine(GKE)v1.21 クラスタ(Autopilot クラスタを含む)が影響を受けます。それ以降のバージョンの GKE は影響を受けません。Ubuntu を使用するすべての Linux クラスタが影響を受けます。GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    2023 年 1 月 19 日更新: バージョン 1.21.14-gke.14100 を利用できます。ノードプールをこのバージョン以降にアップグレードします。

    2022 年 12 月 15 日更新: バージョン 1.21.14-gke.9400 はロールアウトを保留中のため、上位のバージョン番号に置き換えられます。新しいバージョンが公開されたら、このドキュメントを更新します。


    次のバージョンの GKE は更新されており、この脆弱性を修正するためのコードが追加されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • Container-Optimized OS:
      • 1.21.14-gke.7100 以降
    • Ubuntu:
      • 1.21.14-gke.9400 以降
      • 1.22.15-gke.2400 以降
      • 1.23.13-gke.800 以降
      • 1.24.7-gke.800 以降
      • 1.25.3-gke.700 以降

    リリース チャンネルの新しい機能により、チャンネルの登録を解除することなくパッチを適用できます。この機能を使用すると、新しいバージョンがリリース固有のチャネルのデフォルトになるまでノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-3176 では、Linux カーネルに io_uring サブシステムの脆弱性が存在します。POLLFREE 処理がないと、権限昇格に使用できる Use-After-Free(UAF)の悪用につながる可能性があります。

    GKE on VMware

    更新日: 2022 年 11 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    • Container-Optimized OS を使用する GKE on VMware のバージョンは影響を受けません。

    2022 年 11 月 21 日更新: 次のバージョンの GKE on VMware for Ubuntu は、この脆弱性を修正するコードで更新されています。ノードを次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.12.3 以降
    • 1.13.1 以降
    • 1.11.5 以降

    Ubuntu パッチを含む GKE on VMware のバージョンは、まもなくリリースされます。このセキュリティに関する情報は、GKE on VMware のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-3176 では、Linux カーネルに io_uring サブシステムの脆弱性が存在します。POLLFREE 処理がないと、権限昇格に使用できる Use-After-Free(UAF)の悪用につながる可能性があります。

    GKE on AWS

    更新日: 2022 年 11 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 11 月 21 日更新: GKE on AWS の現行バージョンと以前のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    現行世代
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    前の世代
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Ubuntu パッチを含む GKE on AWS のバージョンは、まもなくリリースされます。このセキュリティに関する情報は、GKE on AWS のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-3176 では、Linux カーネルに io_uring サブシステムの脆弱性が存在します。POLLFREE 処理がないと、権限昇格に使用できる Use-After-Free(UAF)の悪用につながる可能性があります。

    GKE on Azure

    更新日: 2022 年 11 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 11 月 21 日更新: GKE on Azure の次のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Ubuntu パッチを含む GKE on Azure のバージョンは、近日中にリリースされる予定です。このセキュリティに関する公開情報は、GKE on Azure のバージョンがダウンロード可能になった時点で更新されます。

    このパッチで対処される脆弱性

    CVE-2022-3176 では、Linux カーネルに io_uring サブシステムの脆弱性が存在します。POLLFREE 処理がないと、権限昇格に使用できる Use-After-Free(UAF)の悪用につながる可能性があります。

    ベアメタル版 GKE

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    対応は不要です。GKE on Bare Metal は、ディストリビューションにオペレーティング システムが含まれていないため、この CVE の影響を受けません。

    なし

    GCP-2022-018

    公開日: 2022 年 8 月 1 日
    更新日: 2022 年 9 月 14 日、2023 年 12 月 21 日
    参考情報: CVE-2022-2327

    2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

    2022 年 9 月 14 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。

    GKE

    更新日: 2023 年 12 月 21 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    詳細な技術情報

    2023 年 12 月 21 日更新: 元の情報では、Autopilot クラスタについて影響があるとしていましたが、これは正しくありません。デフォルト構成の GKE Autopilot クラスタは影響を受けませんが、seccomp による制限なしプロファイルを明示的に設定するか、CAP_NET_ADMIN を許可した場合、脆弱性が生じる可能性があります。

    Linux カーネル バージョン 5.10 を使用した Container-Optimized OS(COS)がある GKE クラスタ(Autopilot クラスタを含む)が影響を受けます。Ubuntu イメージや GKE Sandbox を使用する GKE クラスタは影響を受けません。

    必要な対策

    修正を含むバージョンに GKE クラスタをアップグレードします。COS の Linux ノードイメージは、それらの COS バージョンを使用して GKE バージョンとともに更新されています。

    セキュリティ上の理由から、ノードの自動アップグレードを有効にしている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    COS のバージョン

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、パッチ適用済みバージョンが、選択したリリース チャンネルのデフォルトになる前に、ノードをアップグレードできます。

    このパッチで対処される脆弱性

    CVE-2022-2327 により、バージョン 5.10 の Linux カーネルには、さまざまなリクエストにアイテムタイプ(フラグ)が欠落しているという脆弱性が io_uring サブシステムにあります。適切なアイテムタイプを指定せずにこれらのリクエストを使用すると、root に権限昇格される可能性があります。

    GKE on VMware

    最終更新: 2022 年 9 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    GKE on VMware バージョン 1.10、1.11、1.12 を使用し Container Optimized OS(COS)イメージがあるクラスタが影響を受けます。

    必要な対策

    2022 年 9 月 14 日更新: 次のバージョンの GKE on VMware には、この脆弱性を修正するコードが含まれています。

    • 1.10.6 以降
    • 1.11.3 以降
    • 1.12.1 以降

    パッチを含む GKE on VMware のバージョンは、まもなくリリースされます。このセキュリティに関する情報は、GKE on VMware のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-2327 により、バージョン 5.10 の Linux カーネルには、さまざまなリクエストにアイテムタイプ(フラグ)が欠落しているという脆弱性が io_uring サブシステムにあります。適切なアイテムタイプを指定せずにこれらのリクエストを使用すると、root に権限昇格される可能性があります。

    GKE on AWS

    最終更新: 2022 年 9 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 9 月 14 日更新: GKE on AWS の現行バージョンと以前のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    現行世代

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    前の世代

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    パッチを含む GKE on AWS のバージョンは、まもなくリリースされます。 このセキュリティに関する情報は、GKE on AWS のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-2327 により、バージョン 5.10 の Linux カーネルには、さまざまなリクエストにアイテムタイプ(フラグ)が欠落しているという脆弱性が io_uring サブシステムにあります。適切なアイテムタイプを指定せずにこれらのリクエストを使用すると、root に権限昇格される可能性があります。

    GKE on Azure

    最終更新: 2022 年 9 月 14 日

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 9 月 14 日更新: GKE on Azure の次のバージョンがこの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    パッチを含む GKE on Azure のバージョンは、近日中にリリースされる予定です。 このセキュリティに関する公開情報は、GKE on Azure のバージョンがダウンロード可能になった時点で更新されます。

    このパッチで対処される脆弱性

    CVE-2022-2327 により、バージョン 5.10 の Linux カーネルには、さまざまなリクエストにアイテムタイプ(フラグ)が欠落しているという脆弱性が io_uring サブシステムにあります。適切なアイテムタイプを指定せずにこれらのリクエストを使用すると、root に権限昇格される可能性があります。

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネルで、ローカルでの権限昇格につながる新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal は、ディストリビューションにオペレーティング システムがバンドルされていないため、この CVE の影響を受けません。

    なし

    GCP-2022-017

    公開日: 2022 年 6 月 29 日
    更新日: 2022 年 11 月 22 日
    参考情報: CVE-2022-1786
    2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードに関する情報を更新しました。
    2022 年 7 月 21 日更新: GKE on VMware COS イメージに影響する情報を更新しました。

    GKE

    更新日: 2022 年 11 月 22 日

    説明 重大度

    2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードは、これらの脆弱性の影響を受けません。


    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。Container-Optimized OS を実行しているクラスタのみが影響を受けます。GKE Ubuntu バージョンは、バージョン 5.4 または 5.15 のカーネルを使用しており、影響を受けません。

    必要な対策

    GKE の次のバージョンで Container-Optimized OS 用 Linux ノードイメージのバージョンを、この脆弱性を修正するコードを使用して更新しました。ノードの自動アップグレードを有効にしている場合でも、セキュリティ上の理由から、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    最新のリリース チャンネル機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、パッチ適用済みバージョンが、選択したリリース チャンネルのデフォルトになる前に、ノードをアップグレードできます。

    このパッチで対処される脆弱性

    CVE-2022-1786 により、Linux カーネルの io_uring サブシステムで、use-after-free の不具合が見つかりました。ユーザーが、リングで送信が完了した複数のタスクで IORING_SETUP_IOPOLL を含むリングをセットアップした場合、ローカル ユーザーはシステムの権限をクラッシュまたはエスカレーションできます。

    GKE on VMware

    更新日: 2022 年 7 月 14 日

    説明 重大度

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    2022 年 7 月 21 日更新: 次のバージョンの GKE on VMware には、この脆弱性を修正するコードが含まれています。

    COS
    • 1.10.5 以降
    • 1.11.2 以降
    • 1.12.0 以降

    Ubuntu

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on VMware は、Linux カーネルの影響を受けるバージョンを使用しません。

    なし

    GKE on AWS

    説明 重大度

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on AWS は、Linux カーネルの影響を受けるバージョンを使用しません。

    なし

    GKE on Azure

    説明 重大度

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、GKE on Azure は、Linux カーネルの影響を受けるバージョンを使用しません。

    なし

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal はディストリビューションにオペレーティング システムがバンドルされていないため、この CVE の影響を受けません。

    なし

    GCP-2022-016

    公開日: 2022 年 6 月 23 日
    更新日: 2022 年 11 月 22 日
    参考情報: CVE-2022-29581CVE-2022-29582CVE-2022-1116
    2022 年 11 月 22 日更新: Autopilot クラスタで実行されているワークロードに関する情報を追加しました。
    2022 年 7 月 29 日更新: GKE on VMware、GKE on AWS、GKE on Azure のバージョンを更新しました。

    GKE

    更新日: 2022 年 11 月 22 日

    説明 重大度

    2022 年 11 月 22 日更新: Autopilot クラスタは CVE-2022-29581 の影響を受けませんが、CVE-2022-29582 と CVE-2022-1116 に対して脆弱です。


    2022 年 7 月 29 日更新: GKE Sandbox を使用する Pod には、これらの脆弱性はありません。


    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。すべての Linux クラスタ(Container-Optimized OS と Ubuntu)が影響を受けます。

    必要な対策

    この脆弱性を修正するコードで、次の GKE バージョンに対する Container-Optimized OS および Ubuntu 用 Linux ノードイメージのバージョンが更新されました。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、パッチ適用済みバージョンが、選択したリリース チャンネルのデフォルトになる前に、ノードをアップグレードできます。

    このパッチで対処される脆弱性

    CVE-2022-29582 により、バージョン 5.17.3 よりも前の Linux カーネルには、io_uring タイムアウトでの競合状態が原因となる use-after-free 問題があります。

    CVE-2022-29581 と CVE-2022-1116 は、ローカルの攻撃者が、io_uring や Linux カーネル内の net/sched でメモリ破壊を引き起こし、権限を root に昇格させることができる脆弱性です。

    GKE on VMware

    更新日: 2022 年 7 月 29 日

    説明 重大度

    2022 年 7 月 29 日更新: 次のバージョンの GKE on VMware には、これらの脆弱性を修正するコードが含まれています。

    • 1.9.7 以降
    • 1.10.5 以降
    • 1.11.2 以降
    • 1.12.0 以降


    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。これらの脆弱性は、Container-Optimized OS と Ubuntu イメージの GKE on VMware v1.9 以降に影響します。

    必要な対策

    パッチを含む GKE on VMware のバージョンは、まもなくリリースされます。このセキュリティに関する情報は、GKE on VMware のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-29582 により、バージョン 5.17.3 よりも前の Linux カーネルには、io_uring タイムアウトでの競合状態が原因となる use-after-free 問題があります。

    CVE-2022-29581 と CVE-2022-1116 は、ローカルの攻撃者が、io_uring や Linux カーネル内の net/sched でメモリ破壊を引き起こし、権限を root に昇格させることができる脆弱性です。

    GKE on AWS

    更新日: 2022 年 7 月 29 日

    説明 重大度

    2022 年 7 月 29 日更新: 更新: 次に示す現在と以前の GKE on AWS のバージョンは、これらの脆弱性を修正するコードで更新されています。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    現行世代:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    前の世代:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。これらの脆弱性は、GKE on AWS のすべてのバージョンに影響します。

    必要な対策

    パッチを含む GKE on AWS のバージョンは、まもなくリリースされます。このセキュリティに関する情報は、GKE on AWS のバージョンがダウンロード可能になると更新されます。

    このパッチで対処される脆弱性

    CVE-2022-29582 により、バージョン 5.17.3 よりも前の Linux カーネルには、io_uring タイムアウトでの競合状態が原因となる use-after-free 問題があります。

    CVE-2022-29581 と CVE-2022-1116 は、ローカルの攻撃者が、io_uring や Linux カーネル内の net/sched でメモリ破壊を引き起こし、権限を root に昇格させることができる脆弱性です。

    GKE on Azure

    説明 重大度

    2022 年 7 月 29 日更新: 更新: 次に示す GKE on Azure のバージョンは、これらの脆弱性を修正するコードで更新されています。使用中のノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。これらの脆弱性は、GKE on Azure のすべてのバージョンに影響します。

    必要な対策

    パッチを含む GKE on Azure のバージョンは、近日中にリリースされる予定です。このセキュリティに関する情報は、GKE on Azure のバージョンがダウンロード可能になった時点で更新されます。

    このパッチで対処される脆弱性

    CVE-2022-29582 により、バージョン 5.17.3 よりも前の Linux カーネルには、io_uring タイムアウトでの競合状態が原因となる use-after-free 問題があります。

    CVE-2022-29581 と CVE-2022-1116 は、ローカルの攻撃者が、io_uring や Linux カーネル内の net/sched でメモリ破壊を引き起こし、権限を root に昇格させることができる脆弱性です。

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal はディストリビューションにオペレーティング システムをバンドルしていないため、この脆弱性による影響を受けません。

    なし

    GCP-2022-014

    公開日: 2022 年 4 月 26 日
    更新日: 2022 年 11 月 22 日
    2022 年 11 月 22 日更新: Autopilot クラスタで実行されているワークロードに関する情報を追加しました。
    2022 年 5 月 12 日更新: GKE on AWS と GKE on Azure のパッチ バージョンを更新しました。
    参考情報: CVE-2022-1055CVE-2022-27666

    GKE

    更新日: 2022 年 11 月 22 日

    説明 重大度

    2022 年 11 月 22 日更新: GKE Sandbox で実行中の GKE Autopilot クラスタとワークロードは、これらの脆弱性の影響を受けません。


    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    次の GKE バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。クラスタは、次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.19.16-gke.11000 以降
    • 1.20.15-gke.5200 以降
    • 1.21.11-gke.1100 以降
    • 1.22.8-gke.200 以降
    • 1.23.5-gke.1500 以降

    このパッチで対処される脆弱性

    GKE on VMware

    説明 重大度

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    クラスタをパッチ適用済みバージョンにアップグレードします。次の GKE on VMware バージョン以降には、この脆弱性に対する修正が含まれています。

    • 1.9.6 (今後)
    • 1.10.3
    • 1.11.0 (今後)

    このパッチで対処される脆弱性

    GKE on AWS

    更新日時: 2022 年 5 月 12 日

    説明 重大度

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    2022 年 5 月 12 日更新: GKE on AWS の現行バージョンと以前のバージョンは、これらの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on AWS バージョンのいずれかにアップグレードすることをおすすめします。

    現行世代
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    前の世代
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    クラスタをパッチ適用済みバージョンにアップグレードします。パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    GKE on Azure

    更新日時: 2022 年 5 月 12 日

    説明 重大度

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    2022 年 5 月 12 日更新: 次に示す GKE on Azure のバージョンが、これらの脆弱性を修正するコードで更新されました。ノードを、次に示す GKE on Azure バージョンのいずれかにアップグレードすることをおすすめします。

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    クラスタをパッチ適用済みバージョンにアップグレードします。パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。

    詳細な技術情報

    CVE-2022-1055 では、攻撃者が tc_new_tfilter() で use-after-free を悪用して、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    CVE-2022-27666 では、esp/esp6_output_head のバッファ オーバーフローによって、コンテナ内のローカル攻撃者が、ノードで権限を root に昇格させることができます。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal はパッケージに Linux が含まれていないため、この CVE の影響を受けません。使用するノードイメージが、CVE-2022-1055 と CVE-2022-27666 の修正を含むバージョンに更新されていることを確認してください。

    このパッチで対処される脆弱性

    GCP-2022-013

    公開日: 2022 年 4 月 11 日
    最終更新日: 2022 年 4 月 20 日
    参考情報: CVE-2022-23648
    2022 年 4 月 22 日更新: Google Distributed Cloud Virtual for Bare Metal と GKE on VMware のパッチ バージョンを更新しました。

    GKE

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。この脆弱性は、デフォルトで containerd を使用するすべての GKE ノードのオペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。すべての GKE、Autopilot、GKE Sandbox のノードが影響を受けます。

    必要な対策

    次の GKE バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなくパッチを適用できます。これにより、新しいバージョンがリリース チャンネル固有のデフォルトになるまで、ノードを保護できます。

    GKE on VMware

    最終更新 2022年4月22日

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。この脆弱性は、containerd を使用する Stackdriver が有効になっているすべての GKE on VMware に影響します。GKE on VMware バージョン 1.8、1.9、1.10 に影響があります。

    必要な対策

    2022 年 4 月 22 日更新: 次のバージョンの GKE on VMware には、この脆弱性を修正するコードが含まれています。

    • 1.9.5 以降
    • 1.10.3 以降
    • 1.11.0 以降

    以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを次のいずれかの GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.8.8 以降
    • 1.9.5 以降
    • 1.10.2 以降

    この CVE は、IgnoreImageDefinedVolumes を true に設定することで軽減できます。

    GKE on AWS

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。すべての GKE on AWS バージョンが影響を受けます。

    必要な対策

    次のバージョンの GKE on AWS は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを、次のいずれかの GKE on AWS バージョンにアップグレードすることをおすすめします。

    GKE on AWS(現行世代)
    • バージョン 1.22: 1.22.8-gke.200
    • バージョン 1.21: 1.21.11-gke.100
    GKE on AWS(前の世代)
    • バージョン 1.22: 1.22.8-gke.300
    • バージョン 1.21: 1.21.11-gke.100
    • バージョン 1.20: 1.20.15-gke.2200

    この CVE は、IgnoreImageDefinedVolumes を true に設定することで軽減できます。

    GKE on Azure

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。GKE on Azure のすべてのバージョンが影響を受けます。

    必要な対策

    次のバージョンの GKE on Azure は更新されており、この脆弱性を修正するためのコードが追加されています。ノードを、次のようにアップグレードすることをおすすめします。

    • バージョン 1.22: 1.22.8-gke.200
    • バージョン 1.21: 1.21.11-gke.100

    この CVE は、IgnoreImageDefinedVolumes を true に設定することで軽減できます。

    Google Distributed Cloud Virtual for Bare Metal

    最終更新 2022年4月22日

    説明 重大度

    セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。

    この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。この脆弱性は、containerd を使用するすべての Google Distributed Cloud Virtual for Bare Metal に影響します。Google Distributed Cloud Virtual for Bare Metal バージョン 1.8、1.9、1.10 に影響があります。

    必要な対策

    2022 年 4 月 22 日更新: 次のバージョンの Google Distributed Cloud Virtual for Bare Metal には、この脆弱性を修正するコードが含まれています。

    • 1.8.9 以降
    • 1.9.6 以降
    • 1.10.3 以降
    • 1.11.0 以降

    次のバージョンの Google Distributed Cloud Virtual for Bare Metal は、この脆弱性を修正するコードで更新されています。ノードを、次のいずれかの Google Distributed Cloud Virtual for Bare Metal バージョンにアップグレードすることをおすすめします。

    • 1.8.8 以降
    • 1.9.5 以降
    • 1.10.2 以降

    この CVE は、IgnoreImageDefinedVolumes を true に設定することで軽減できます。

    GCP-2022-012

    公開日: 2022 年 4 月 7 日
    更新日: 2022 年 11 月 22 日
    参考情報: CVE-2022-0847
    2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードに関する情報を更新しました。

    GKE

    更新日: 2022 年 11 月 22 日

    説明 重大度

    2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードは、これらの脆弱性の影響を受けません。


    Linux カーネル バージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性は、Container-Optimized OS イメージ(Container-Optimized OS 93 以降)を使用するすべての GKE ノードプール バージョン v1.22 以降に影響します。Ubuntu OS を使用する GKE ノードプールは影響を受けません。

    必要な対策

    次の GKE バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。セキュリティ上の理由から、ノードの自動アップグレードが有効になっている場合でも、ノードプールを次のいずれかの GKE バージョンに手動でアップグレードすることをおすすめします。

    • 1.22.7-gke.1500 以降
    • 1.23.4-gke.1600 以降

    リリース チャンネルの新しい機能を使用すると、チャンネルの登録を解除することなく、他のリリース チャンネルのパッチ バージョンを適用できます。これにより、新しいバージョンがリリース固有のチャンネルのデフォルトになるまで、ノードを保護できます。

    このパッチで対処される脆弱性

    CVE-2022-0847 は、Linux カーネルのバージョン 5.8 で導入された PIPE_BUF_FLAG_CAN_MERGE フラグに関連するものです。この脆弱性では、Linux カーネルで新しいパイプバッファ構造の「flags」メンバーが適切に初期化されていませんでした。権限のないローカル攻撃者は、この欠陥を利用して、読み取り専用ファイルによって裏付けられたページ キャッシュ内のページに書き込むことや、権限を昇格させることができます。

    この問題を解決する Container-Optimized OS の新しいバージョンは、GKE の更新後のノードプール バージョンに統合されました。

    GKE on VMware

    説明 重大度

    Linux カーネル バージョン 5.8 以降で、権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性は、Container-Optimized OS イメージ用の GKE on VMware v1.10 に影響します。現在 Ubuntu での GKE on VMware は、カーネル バージョン 5.4 に基づいており、この攻撃に対する脆弱性はありません。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。管理クラスタとユーザー クラスタを、次の GKE on VMware バージョンにアップグレードすることをおすすめします。

    • 1.10.3

    このパッチで対処される脆弱性

    CVE-2022-0847 は、Linux カーネルのバージョン 5.8 で導入された PIPE_BUF_FLAG_CAN_MERGE フラグに関連するものです。この脆弱性では、Linux カーネルで新しいパイプバッファ構造の「flags」メンバーが適切に初期化されていませんでした。権限のないローカル攻撃者は、この欠陥を利用して、読み取り専用ファイルによって裏付けられたページ キャッシュ内のページに書き込むことや、権限を昇格させることができます。

    この問題を解決する Container-Optimized OS の新しいバージョンは、GKE on VMware の更新バージョンに統合されています。

    GKE on AWS

    説明 重大度

    Linux カーネル バージョン 5.8 以降で、権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。

    この脆弱性は、Ubuntu を使用する GKE on AWS v1.21 のマネージド クラスタと、Ubuntu を使用する GKE on AWS(旧世代)v1.19、v1.20、v1.21 で実行されているクラスタに影響します。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。

    AWS 上のマネージド GKE クラスタの場合、ユーザー クラスタとノードプールを次のいずれかのバージョンにアップグレードすることをおすすめします。

    • 1.21.11-gke.100

    AWS 上の k-lite GKE クラスタでは、AWSManagementService、AWSCluster、AWSNodePool オブジェクトを、次のバージョンにアップグレードすることをおすすめします。

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    このパッチで対処される脆弱性

    CVE-2022-0847 は、Linux カーネルのバージョン 5.8 で導入された PIPE_BUF_FLAG_CAN_MERGE フラグに関連するものです。この脆弱性では、Linux カーネルで新しいパイプバッファ構造の「flags」メンバーが適切に初期化されていませんでした。権限のないローカル攻撃者は、この欠陥を利用して、読み取り専用ファイルによって裏付けられたページ キャッシュ内のページに書き込むことや、権限を昇格させることができます。

    GKE on Azure

    説明 重大度

    Linux カーネル バージョン 5.8 以降で、権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性は、Ubuntu を使用する Azure v1.21 上の GKE のマネージド クラスタに影響します。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。ユーザー クラスタとノードプールを、次のバージョンにアップグレードすることをおすすめします。

    • 1.21.11-gke.100

    このパッチで対処される脆弱性

    CVE-2022-0847 は、Linux カーネルのバージョン 5.8 で導入された PIPE_BUF_FLAG_CAN_MERGE フラグに関連するものです。この脆弱性では、Linux カーネルで新しいパイプバッファ構造の「flags」メンバーが適切に初期化されていませんでした。権限のないローカル攻撃者は、この欠陥を利用して、読み取り専用ファイルによって裏付けられたページ キャッシュ内のページに書き込むことや、権限を昇格させることができます。

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度

    Linux カーネル バージョン 5.8 以降で、権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。

    必要な対策

    これは弊社の対応をパートナー様にご報告させていただくためにお知らせしているもので、Google Distributed Cloud Virtual for Bare Metal はパッケージに Linux が含まれていないため、この CVE の影響を受けません。使用するノードイメージが、CVE-2022-0847 の修正を含むバージョンに更新されていることを確認してください。

    GCP-2022-011

    公開日: 2022 年 3 月 22 日
    最終更新日: 2022 年 8 月 11 日

    2022 年 8 月 11 日更新: SMT 構成ミスの影響に関する詳細を追加しました。

    GKE

    説明 重大度

    2022 年 8 月 11 日更新: 同時マルチスレッディング(SMT)構成に関する情報を追加しました。SMT は無効になっていることが想定されていましたが、リストにあるバージョンでは有効になっています。

    サンドボックス化されたノードプールに対して SMT を手動で有効にした場合、この問題が発生しても SMT は手動で有効にされたままになります。


    GKE Sandbox イメージに、ハイパー スレッディングとも呼ばれる同時マルチ スレッディング(SMT)の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャ データ サンプリング(MDS)などのサイドチャネル攻撃を受ける可能性があります(詳細については、GKE Sandbox のドキュメントをご覧ください)。影響を受ける次のバージョンの使用はおすすめしません。

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    手動でノードプールに対して SMT を有効にした場合、この問題はサンドボックス化されたノードには影響しません。

    必要な対策

    ノードを、次のいずれかのバージョンにアップグレードしてください。

    • 1.22.6-gke.1500 以降
    • 1.23.3-gke.1100 以降

    このパッチで対処される脆弱性

    GKE Sandbox ノードは、デフォルトで SMT が無効になっており、サイドチャネルの攻撃が軽減されます。

    GCP-2022-009

    公開日: 2022 年 3 月 1 日
    更新日: 2022 年 3 月 15 日

    GKE

    説明 重大度

    2022 年 3 月 15 日更新: GKE on AWS と GKE on Azure のセキュリティ強化ガイドを追加しました。webhook を使用した永続性のセクションを追加しました。


    GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の対応は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

    GKE Standard と GKE クラスタのユーザーは、オプションで同様の強化ポリシーを下記の手順で適用できます。

    詳細な技術情報

    サードパーティ ポリシーの除外を使用したホストアクセス

    Google Cloud がノードと Pod レベルの SLA を完全に管理できるようにするため、GKE Autopilot は特権の高い Kubernetes プリミティブの一部を制限して、ワークロードによるノード VM への低レベルアクセスを制限します。これをコンテキストで設定するために、GKE Standard では基盤となるコンピューティングへの完全アクセス権が提示され、Autopilot では制限付きアクセス権が提示され、Cloud Run ではアクセス権が付与されません。

    Autopilot は、サードパーティ ツールの事前定義リストに関する制限の一部を軽減することで、お客様がこれらのツールを変更なしで Autopilot 上で実行できるようにしています。研究者は、権限を使用してホストのパスをマウントする Pod を作成し、これらの許可リストに登録されたサードパーティ ツールのような特権付きコンテナを Pod で実行してホストにアクセスできました。

    この方法で Pod をスケジュールすることは GKE Standard では想定されていますが、GKE Autopilot では想定されていません。これは、前述の SLA の有効化に使用されたホストアクセス制限がバイパスされるためです。

    この問題は、サードパーティの許可リストの Pod 仕様を強化することで修正されました。

    root-on-node からの権限昇格

    また、ホストアクセスに加えて、stackdriver-metadata-agent-cluster-level Pod と metrics-server Pod に高い権限が付与されました。ノードへのルートレベルでのアクセスを取得した後、これらのサービスを使用して、クラスタをより細かく制御できます。

    GKE Standard と Autopilot の両方の stackdriver-metadata-agent が非推奨になり、削除されました。このコンポーネントは、GKE on VMware と Google Distributed Cloud Virtual for Bare Metal で引き続き使用されています。

    この種の攻撃を今後防ぐためのシステム強化策として、今後のリリースで Autopilot 制約を適用し、kube-system Namespace 内のさまざまなオブジェクトのサービス アカウントに対する更新を防ぐ予定です。Google は、GKE Standard クラスタと GKE クラスタに同様の保護を適用して特権ワークロードの自己変更を防止できるようにするための Gatekeeper ポリシーを開発しました。このポリシーは Autopilot クラスタに自動的に適用されます。手順については、次の強化ガイドをご覧ください。


    2022 年 3 月 15 日追加: 変更用 Webhook を使用する永続性

    変更用 Webhook がレポートで使用され、不正使用後のクラスタで特権的な足がかりが確立されました。これらは、クラスタ管理者が作成する Kubernetes API の標準部分であり、Autopilot で顧客定義の Webhook のサポートが追加されたときに管理者に表示されるようになりました。


    デフォルトの Namespace 内の特権サービス アカウント

    Autopilot ポリシー施行者は、デフォルトの Namespace に csi-attacherotelsvc の 2 つのサービス アカウントを許可リストに登録し、サービス アカウントに特別な権限を付与しました。ClusterRoleBinding オブジェクトを作成する権限やデフォルトの Namespace で Pod を作成する権限などの高い権限を持つ攻撃者は、これらのサービス アカウント名を使用して追加の権限にアクセスするおそれがあります。既存の Autopilot ポリシーを保護するため、これらのサービスは kube-system Namespace に移動しました。GKE Standard クラスタと GKE クラスタは影響を受けません。

    必要な対策

    すべての GKE Autopilot クラスタでは、意図しないホストアクセスを削除するためのポリシーが更新されました。以後の対応は特に必要はありません

    Autopilot には、二次的な保護としてさらなるポリシー強化機能が今後数週間以内に適用される予定です。このため、ご対応は不要です。

    GKE Standard クラスタと GKE クラスタは、ユーザーがすでにホストにアクセスできるため、影響を受けません。システムの強化策として、GKE 標準クラスタと GKE クラスタのユーザーは、特権付きワークロードの自己変更を防ぐ Gatekeeper ポリシーを使用して、同様の保護を適用できます。手順については、次の強化ガイドをご覧ください。

    GCP-2022-008

    公開: 2022 年 2 月 23 日
    更新: 2022 年 4 月 28 日
    参照: CVE-2022-23606、         CVE-2022-21655、         CVE-2021-43826、         CVE-2021-43825、         CVE-2021-43824、         CVE-2022-21654、         CVE-2022-21657、         CVE-2022-21656

    GKE

    説明 重大度
    Envoy プロジェクトは、CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656といったいくつかの脆弱性を最近発見しました。これらは、Anthos Service MeshIstio-on-GKE、またはカスタム Istio デプロイを使用する GKE クラスタに影響を与える可能性があります。
    以下の問題はすべて、Envoy リリース 1.21.1 で修正されています。
    技術的背景
    これらの脆弱性の詳細については、こちらをご覧ください。

    必要な対策

    Anthos Service Mesh を実行する GKE クラスタは、上記の脆弱性を修正したサポートされているバージョンにアップグレードする必要があります。
    • Anthos Service Mesh 1.12 を使用している場合は、v1.12.4-asm.0 にアップグレードします。
    • Anthos Service Mesh 1.11 を使用している場合は、v1.11.7-asm.1 にアップグレードします。
    • Anthos Service Mesh 1.10 を使用している場合は、v1.10.6-asm.1 にアップグレードします
    Anthos Service Mesh v1.9 以前を使用している場合ご使用のリリースはサポートが終了しています。これらの CVE 修正はバックポートされていません。ASM 1.10 以降にアップグレードする必要があります。

    Istio-on-GKE を実行している GKE クラスタは、上記の脆弱性を修正してサポートされているバージョンにアップグレードする必要があります。
    • Istio-on-GKE 1.6 を使用している場合は、v1.6.14-gke.8 にアップグレードします。
    • Istio-on-GKE 1.4.11 を使用している場合は、v1.4.11-gke.4 にアップグレードします。
    • Istio-on-GKE 1.4.10 を使用している場合は、v1.4.10-gke.23 にアップグレードします。
    • GKE 1.22 以降を使用している場合は、Istio GKE 1.4.10 を使用してください。それ以外の場合は、Istio-on-GKE 1.4.11 を使用します。

    このパッチで対処される脆弱性

    CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656

    GKE on VMware

    更新日時: 2022 年 4 月 28 日

    説明 重大度
    Envoy は最近、複数のセキュリティ上の脆弱性の修正をリリースしました。Envoy は metrics-server で使用されるため、GKE on VMware は影響を受けます。現在修正している Envoy CVE は、次のとおりです。このセキュリティ情報は、特定のバージョンを含めて利用可能になり次第、更新されます。
    • CVE-2021-43824(CVSS スコア 6.5、中): JWT フィルタ safe_regex 一致の使用時、null ポインタの逆参照の可能性があります。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、JWT フィルタ正規表現を使用すると影響を受ける可能性があります
    • CVE-2021-43825(CVSS スコア 6.1、中): レスポンス フィルタがレスポンス データを増やし、増加したデータがダウンストリームのバッファ上限を超えた場合の Use After Free(解放済みメモリ使用)。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、解凍フィルタを使用すると影響を受ける可能性があります。
    • CVE-2021-43826(CVSS スコア 6.1、中): アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP で TCP をトンネリングする場合の Use After Free。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、トンネリング フィルタを使用すると影響を受ける可能性があります。
    • CVE-2022-21654(CVSS スコア 7.3、高): 正しくない構成を処理することで、検証設定の変更後に再検証を行わずに mTLS セッションを再利用できます。
      注: mTLS を使用する ASM/Istio-on-GKE サービスはすべて、この CVE の影響を受けます。
    • CVE-2022-21655(CVSS スコア 7.5、高): ダイレクト レスポンス エントリを含むルートへの内部リダイレクトの処理が正しく行われません。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、ダイレクト レスポンス フィルタを使用すると、影響を受ける可能性があります。
    • CVE-2022-23606(CVSS スコア 4.4、中): クラスタ ディスカバリ サービス経由でクラスタを削除すると、スタックが枯渇します。
      注: ASM 1.11+ はこの CVE の影響を受けます。ASM 1.10 とすべての Istio-on-GKE は、この CVE の影響を受けません。
    • CVE-2022-21657(CVSS Score 3.1、低): Envoy から 1.20.1 までには、X.509 Extended Key Usage and Trust Purpose バイパスにより、リモートで悪用される脆弱性が含まれています。
    • CVE-2022-21656(CVSS Score 3.1、低): Envoy から 1.20.1 までには、X.509 subjectAltName マッチング(および nameConstraints)バイパスにより、リモートで悪用される脆弱性が含まれています。

    Istio は最近、セキュリティ上の脆弱性の修正を 1 つリリースしました。Istio が Ingress に使用されているため、Anthos on VMware が影響を受けます。現在修正している Istio の CVE は次のとおりです。このセキュリティ情報は、特定のバージョンを含めて利用可能になり次第、更新されます。

    CVE-2022-23635(CVSS スコア 7.5、高): Istiod は特別に作成された「authorization」ヘッダーのリクエストを受信するとクラッシュします。


    上記の CVE の完全な説明と影響については、セキュリティに関する情報をご覧ください。

    2022 年 4 月 28 日追加: どうすればよいですか?

    これらの脆弱性は、GKE on VMware の次のバージョンで修正されます。

    • 1.9.5
    • 1.10.3
    • 1.11.0

    このパッチで対処される脆弱性

    CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656

    Google Distributed Cloud Virtual for Bare Metal

    説明 重大度
    Envoy は最近、複数のセキュリティ上の脆弱性の修正をリリースしました。Envoy が metrics-server に使用されているため、ベアメタル版 Anthos が影響を受けます。リリース 1.10.3、1.9.6、1.8.9 で修正している Envoy CVE は次のとおりです。
    • CVE-2021-43824(CVSS スコア 6.5、中): JWT フィルタ safe_regex 一致の使用時、null ポインタの逆参照の可能性があります。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、JWT フィルタ正規表現を使用すると影響を受ける可能性があります。
    • CVE-2021-43825(CVSS スコア 6.1、中): レスポンス フィルタがレスポンス データを増やし、増加したデータがダウンストリームのバッファ上限を超えた場合の Use After Free(解放済みメモリ使用)。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、解凍フィルタを使用すると影響を受ける可能性があります。
    • CVE-2021-43826(CVSS スコア 6.1、中): アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP で TCP をトンネリングする場合の Use After Free。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、トンネリング フィルタを使用すると影響を受ける可能性があります。
    • CVE-2022-21654(CVSS スコア 7.3、高): 正しくない構成を処理することで、検証設定の変更後に再検証を行わずに mTLS セッションを再利用できます。
      注: mTLS を使用する ASM/Istio-on-GKE サービスはすべて、この CVE の影響を受けます。
    • CVE-2022-21655(CVSS スコア 7.5、高): ダイレクト レスポンス エントリを含むルートへの内部リダイレクトの処理が正しく行われません。
      注: ASM/Istio-on-GKE は Envoy フィルタをサポートしていませんが、ダイレクト レスポンス フィルタを使用すると、影響を受ける可能性があります。
    • CVE-2022-23606(CVSS スコア 4.4、中): クラスタ ディスカバリ サービス経由でクラスタを削除すると、スタックが枯渇します。
      注: ASM 1.11+ はこの CVE の影響を受けます。ASM 1.10 とすべての Istio-on-GKE は、この CVE の影響を受けません。
    • CVE-2022-21657(CVSS Score 3.1、低): Envoy から 1.20.1 までには、X.509 Extended Key Usage and Trust Purpose バイパスにより、リモートで悪用される脆弱性が含まれています。
    • CVE-2022-21656(CVSS Score 3.1、低): Envoy から 1.20.1 までには、X.509 subjectAltName マッチング(および nameConstraints)バイパスにより、リモートで悪用される脆弱性が含まれています。
    Istio は最近、セキュリティ上の脆弱性の修正を 1 つリリースしました。Istio が上り(内向き)に使用されているため、ベアメタル版 Anthos が影響を受けます。リリース 1.10.3、1.9.6、1.8.9 で修正している Istio の CVE は次のとおりです。

    • CVE-2022-23635(CVSS スコア 7.5、高): Istiod は特別に作成された「authorization」ヘッダーのリクエストを受信するとクラッシュします。
      注: すべての ASM/Istio-on-GKE がこの CVE の影響を受けます。

    上記の CVE に関する完全な説明と影響については、セキュリティに関する情報をご覧ください。

    このパッチで対処される脆弱性

    CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656

    GCP-2022-006

    公開日: 2022 年 2 月 14 日
    更新日: 2022 年 5 月 16 日
    2022 年 5 月 16 日更新: この脆弱性を修正するコードを含むバージョンのリストに、GKE バージョン 1.19.16-gke.7800 以降を追加しました。
    2022 年 5 月 12 日更新: GKE、Google Distributed Cloud Virtual for Bare Metal、GKE on VMware、GKE on AWS のパッチ バージョンを更新しました。2022 年 2 月 23 日に追加したとき、GKE on AWS のセキュリティ情報が表示されない問題を修正しました。

    GKE

    説明 重大度

    セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

    必要な対策

    2022 年 5 月 16 日更新: 2022 年 5 月 12 日の更新で言及された GKE バージョンに加えて、GKE バージョン 1.19.16-gke.7800 以降には、この脆弱性を修正するコードも含まれています。


    2022 年 5 月 12 日更新: 次の GKE バージョンには、この脆弱性を修正したコードが含まれています。

    • 1.20.15-gke.5600 以降
    • 1.21.11-gke.1500 以降
    • 1.22.8-gke.1800 以降
    • 1.23.5-gke.1800 以降
    •         
            
            2022 年 2 月 15 日更新: gVisor ステートメントを修正しました。         
            

    この脆弱性は Linux カーネルの cgroup_release_agent_write にある kernel/cgroup/cgroup-v1.c 関数で発見され、これを利用してコンテナのブレークアウトが可能です。GKE は、Ubuntu と COS のデフォルトの AppArmor プロファイルから保護されるため、影響を受けません。ただし、Pod やコンテナの securityContext フィールドを変更して Pod のセキュリティ制限を緩和すると、一部のお客様が依然として脆弱性の影響を受ける可能性があります。たとえば、AppArmor プロファイルの無効化や変更を行うことが考えられますが、これは推奨されません。デフォルトの AppArmor プロファイルに加え、これらの機能も脆弱性から保護します。

    • デフォルトの seccomp プロファイルにより、GKE Autopilot は影響を受けません。
    • 2022 年 2 月 15 日更新: gVisor (GKE Sandbox)はホスト上の脆弱なシステムコールへのアクセスを許可していないため、gVisorは影響を受けません。

    パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    CVE-2022-0492

    GKE クラスタ

    説明 重大度

    セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

    必要な対策

    2022 年 5 月 12 日更新: GKE on VMware の次のバージョンには、この脆弱性を修正するコードが含まれています。

    COS
    • 1.8.8 以降
    • 1.9.5 以降
    • 1.10.2 以降
    • 1.11.0 以降
    Ubuntu
    • 1.9.6 以降
    • 1.10.3 以降
    • 1.11.0 以降

    この脆弱性は Linux カーネルの cgroup_release_agent_write にある kernel/cgroup/cgroup-v1.c 関数にあり、コンテナのブレークアウトとして使用できます。GKE on VMware は、Ubuntu と COS のデフォルトの AppArmor プロファイルから保護されるため、影響を受けません。ただし、Pod やコンテナの securityContext を変更して Pod のセキュリティ制限を緩和すると、一部のお客様が依然として脆弱性の影響を受ける可能性があります。たとえば、AppArmor プロファイルの無効化や変更を行うことが考えられますが、これはおすすめしません。

    パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    CVE-2022-0492

    GKE on AWS

    説明 重大度

    セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

    必要な対策

    2022 年 5 月 12 日更新: 現行および前世代の GKE on AWS には、この脆弱性を修正するコードが含まれています。

    現行世代
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    前の世代
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    2022 年 2 月 23 日更新: GKE on AWS に関する注記を追加しました。

    GKE on AWS は、Ubuntu のデフォルトの AppArmor プロファイルから保護されるため、前世代と現行世代は影響を受けません。ただし、Pod やコンテナの securityContext フィールドを変更して Pod のセキュリティ制限を緩和すると、一部のお客様が依然として脆弱性の影響を受ける可能性があります。たとえば、AppArmor プロファイルの無効化や変更などが考えられますが、これは推奨されません。

    パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    CVE-2022-0492

    GKE Enterprise

    説明 重大度

    セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

    必要な対策

    2022 年 5 月 12 日更新: GKE on Azure の以下のバージョンには、この脆弱性を修正するコードが含まれています。

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE on Azure は、Ubuntu のデフォルトの AppArmor プロファイルから保護されるため、影響を受けません。ただし、Pod やコンテナの securityContext を変更して Pod のセキュリティ制限を緩和すると、一部のお客様が依然として脆弱性の影響を受ける可能性があります。たとえば、AppArmor プロファイルの無効化や変更を行うことが考えられますが、これは推奨されません。

    パッチは今後のリリースで提供される予定です。このセキュリティ情報は、利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    CVE-2022-0492

    GCP-2022-005

    公開日: 2022 年 2 月 11 日
    更新日: 2022 年 2 月 15 日
    参考情報: CVE-2021-43527

    GKE

    説明 重大度
    2022 年 2 月 15 日更新: 元の公開情報に記載されている GKE バージョンの一部では、他の修正と一緒にされ、リリース前にバージョン番号が上げられていました。パッチは、次の GKE バージョンで提供されます。
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。GKE COS イメージと Ubuntu イメージのどちらにも脆弱性のあるバージョンがインストールされているため、パッチを適用する必要があります。

    場合によっては、CVE-2021-43527 は、NSS を使用して CMS、S/MIME、PKCS#7、PKCS#12 内でエンコードされた署名を処理するアプリケーション全体にわたり広く影響を与える可能性があります。証明書の検証や他の TLS に NSS を使用するアプリケーションだけでなく、X.509、OCSP 機能や CRL 機能も影響を受ける可能性があります。影響は、NSS の使用方法や構成方法によって異なります。

    GKE では、インターネットからアクセス可能な API に libnss3 を使用しません。この影響は小さく、Chrome OS の設計が最小限で済むため、コンテナ外で実行されるホスト上のコードに限定されます。Golang distroless のベースイメージを使用したコンテナ内で実行される GKE コードは影響を受けません。

    必要な対策

    次の GKE バージョン用の Linux ノードイメージ バージョンは、これらの脆弱性を修正するコードで更新されています。コントロール プレーンとノードを次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.18 バージョンは未確定
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    1.18 より古いバージョンの GKE を使用していますか?SLA の期限が終了した GKE バージョンを使用しており、サポート対象のいずれかのバージョンへのアップグレードを検討する必要があります。

    このパッチで対処される脆弱性

    CVE-2021-43527

    GKE クラスタ

    説明 重大度

    3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。証明書の検証や、他の TLS、X.509、OCSP、CRL の機能に NSS を使用するアプリケーションは、NSS の構成によっては影響を受ける可能性があります。GKE on VMware COS と Ubuntu イメージの両方には脆弱性のあるバージョンがインストールされているため、パッチを適用する必要があります。

    場合によっては、CVE-2021-43527 は、NSS を使用して CMS、S/MIME、PKCS \#7、PKCS \#12 内でエンコードされた署名を処理するアプリケーション全体にわたり広く影響を与える可能性があります。証明書の検証や他の TLS に NSS を使用するアプリケーションだけでなく、X.509、OCSP 機能や CRL 機能も影響を受ける可能性があります。影響は、NSS の構成や使用方法によって異なります。GKE on VMware は、一般公開されている API に libnss3 を使用しないため、影響は限定的です。GKE on VMware に対するこの CVE の重大度は「中」です。

    必要な対策

    次の Anthos バージョンの Linux ノードイメージ バージョンは、これらの脆弱性を修正するコードで更新されています。コントロール プレーンとノードを次のいずれかの Anthos バージョンにアップグレードしてください。

    • 1.8.7
    • 1.9.4
    • 1.10.2

    1.18 より古いバージョンの GKE on VMware を使用していますか?SLA 対象外の Anthos バージョンを使用していますので、サポートされているバージョンのいずれかへのアップグレードを検討する必要があります。

    このパッチで対処される脆弱性

    CVE-2021-43527

    GKE Enterprise

    説明 重大度

    3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。Anthos clusters on Azure の Ubuntu イメージには、脆弱性のあるバージョンがインストールされているため、パッチを適用する必要があります。

    場合によっては、CVE-2021-43527 は、NSS を使用して CMS、S/MIME、PKCS#7、PKCS#12 内でエンコードされた署名を処理するアプリケーション全体にわたり広く影響を与える可能性があります。証明書の検証や他の TLS に NSS を使用するアプリケーションだけでなく、X.509、OCSP 機能や CRL 機能も影響を受ける可能性があります。影響は、NSS の構成や使用方法によって異なります。Anthos clusters on Azure は、一般公開されている API に libnss3 を使用しないため、影響は限定的であり、Anthos on Azure に対するのこの CVE の 重大度は「中」です。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、これらの脆弱性を修正するコードで更新されています。ご利用のクラスタを次のいずれかの Anthos on Azure バージョンにアップグレードしてください。

    • v1.21.6-gke.1500

    このパッチで対処される脆弱性

    CVE-2021-43527

    GCP-2022-004

    公開日: 2022 年 2 月 4 日
    参考情報: CVE-2021-4034

    GKE

    説明 重大度

    セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

    必要な対策

    脆弱性のあるモジュール(policykit-1)は、GKE で使用される COS や Ubuntu のイメージにインストールされていないため、GKE は影響を受けません。このため、ご対応は不要です。

    なし

    GKE クラスタ

    説明 重大度

    セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

    GKE Enterprise のデフォルト構成では、ユーザーに完全な「sudo」権限が付与されているため、この悪用によって GKE Enterprise の既存のセキュリティ体制が変わることはありません。

    詳細な技術情報

    攻撃者がこのバグを悪用するには、ノード ファイルシステムの root 以外のシェルと、脆弱なバージョンの pkexec がインストールされている必要があります。GKE on VMware では、リリース イメージに policykit-1 のバージョンが含まれていますが、GKE のデフォルト構成では、シェルアクセス権がすでに付与されているすべてのユーザーに対してパスワードなしの sudo が許可されます。そのため、この脆弱性により、すでに持っている権限を超える権限がユーザーに付与されることはありません。

    必要な対策

    ご対応は必要ありません。GKE on VMware は影響を受けません。

    なし

    GKE クラスタ

    説明 重大度
    GKE on AWS は影響を受けません。脆弱性のあるモジュール policykit-1 は、GKE on AWS の最新バージョンと以前のバージョンで使用される Ubuntu イメージにインストールされません。 なし

    GKE Enterprise

    説明 重大度

    セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

    GKE Enterprise のデフォルト構成では、ユーザーに完全な「sudo」権限が付与されているため、この悪用によって GKE Enterprise の既存のセキュリティ体制が変わることはありません。

    詳細な技術情報

    攻撃者がこのバグを悪用するには、ノード ファイルシステムの root 以外のシェルと、脆弱なバージョンの pkexec がインストールされている必要があります。GKE on Azure では、リリース イメージに policykit-1 のバージョンが含まれていますが、GKE Enterprise のデフォルト構成では、シェルアクセス権がすでに付与されているすべてのユーザーに対してパスワードなしの sudo が許可されます。そのため、この脆弱性により、すでに持っている権限を超える権限がユーザーに付与されることはありません。

    必要な対策

    ご対応は必要ありません。GKE on Azure は影響を受けません。

    なし

    GKE クラスタ

    説明 重大度
    Google Distributed Cloud Virtual for Bare Metal は、お客様が管理するオペレーティング システムにインストールされているパッケージによっては影響を受ける可能性があります。OS イメージをスキャンし、必要に応じてパッチを適用します。 なし

    GCP-2022-002

    公開日: 2022 年 2 月 1 日
    更新日: 2022 年 3 月 7 日
    参照情報:
    CVE-2021-4154CVE-2021-22600CVE-2022-0185
    2022 年 2 月 4 日更新: GKE on AWS と GKE on Azure のセクションを追加しました。GKE と GKE on VMware のロールアウトの更新を追加しました。

    GKE

    更新日: 2022 年 3 月 7 日

    説明 重大度

    Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。

    GKE Sandbox を使用する Pod には、これらの脆弱性はありません。

    詳細については、COS リリースノートをご覧ください。

    詳細な技術情報

    CVE-2021-4154 では、攻撃者が fsconfig システム呼び出しパラメータを悪用して、Linux カーネルで use-after-free バグをトリガーし、root 権限を取得してしまうおそれがあります。これは、コンテナ ブレークアウトにつながるローカル権限昇格攻撃です。

    CVE-2021-22600 は packet_set_ring でのダブルフリー脆弱性の悪用であり、ホストノードへのコンテナ エスケープを招くおそれがあります。

    CVE-2022-0185 では、legacy_parse_param() にあるヒープ オーバーフローのバグにより、コンテナのブレークアウトの原因となる範囲外の書き込みを引き起こすことがあります。

    「unshare」syscall に依存するこの脆弱性の悪用パスは、デフォルトで seccomp フィルタリングを使用して GKE Autopilot クラスタでブロックされます。

    GKE 標準クラスタでデフォルトのコンテナ ランタイム seccomp プロファイルを手動で有効にしたユーザーも保護されます。

    必要な対策

    2022 年 3 月 7 日更新: 次のバージョンの GKE 用の Linux ノードイメージ バージョンは、Ubuntu イメージと COS イメージの両方に対するこれらすべての脆弱性を修正するコードで更新されています。コントロール プレーンとノードを次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    2022 年 2 月 25 日更新: Ubuntu ノードイメージを使用している場合、1.22.6-gke.1000 は CVE-2021-22600 に対処しません。このセキュリティ情報は、Ubuntu パッチ バージョンが公開されたら更新する予定です。


    2022 年 2 月 23 日更新: 次のバージョンの GKE 用 Linux ノードイメージのバージョンが、これらの脆弱性を修正するコードで更新されています。クラスタは、次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    2022 年 2 月 4 日更新: GKE パッチ バージョンのロールアウト開始日は 2 月 2 日でした。


    これらの脆弱性を修正するコードにより、次のバージョンの GKE の Linux ノードイメージのバージョンが更新されました。クラスタは、次のいずれかの GKE バージョンにアップグレードしてください。

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    1.22 と 1.23 のバージョンも進行中です。このセキュリティ情報は、特定のバージョンを含めて利用可能になり次第、更新されます。

    このパッチで対処される脆弱性

    GKE クラスタ

    更新日: 2022 年 2 月 23 日

    説明 重大度

    Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。

    詳細については、COS リリースノートをご覧ください。

    詳細な技術情報

    CVE-2021-4154 では、攻撃者が fsconfig システム呼び出しパラメータを悪用して、Linux カーネルで use-after-free バグをトリガーし、root 権限を取得してしまうおそれがあります。これは、コンテナ ブレークアウトにつながるローカル権限昇格攻撃です。

    CVE-2021-22600 は packet_set_ring でのダブルフリー脆弱性の悪用であり、ホストノードへのコンテナ エスケープを招くおそれがあります。

    CVE-2022-0185 では、legacy_parse_param() にあるヒープ オーバーフローのバグにより、コンテナのブレークアウトの原因となる範囲外の書き込みを引き起こすことがあります。

    GKE 標準クラスタでデフォルトのコンテナ ランタイム seccomp プロファイルを手動で有効にしたユーザーも保護されます。

    必要な対策

    2022 年 2 月 23 日更新: バージョン 1.10.2(CVE-2021-22600、CVE-2021-4154、CVE-2022-0185 の修正)が 3 月 1 日に予定されています。

    2022 年 2 月 23 日更新: CVE-2021-2260 に対処するパッチ適用済みバージョンを追加しました。

    バージョン 1.10.1 は CVE-2021-22600 に対処しませんが、他の脆弱性には対処します。リリースされていないバージョン 1.9.4 と 1.10.2 は CVE-2021-22600 に対応します。次の GKE on VMware バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。クラスタは、次のいずれかの GKE on VMware バージョンにアップグレードしてください。

    • 1.10.1(CVE-2021-4154 と CVE-2022-0185 を修正。2009 年 2 月 10 日にリリース)
    • 1.8.7(CVE-2021-22600、CVE-2021-4154、CVE-2022-0185 を修正。2009 年 2 月 17 日にリリース)
    • 1.9.4(CVE-2021-22600、CVE-2021-4154、CVE-2022-0185 を修正。2009 年 2 月 23 日にリリース)
    • 1.10.2(CVE-2021-22600、CVE-2021-4154、CVE-2022-0185 を修正。2 月 24 日でスケジュール設定済み)

    2022 年 2 月 4 日更新: CVE-2021-22600 に未対応の Ubuntu イメージに関する情報を追加しました。

    次の GKE on VMware バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。クラスタは、次のいずれかの GKE on VMware バージョンにアップグレードしてください。

    • 1.10.1(COS の更新のみ。Ubuntu パッチは 1.10.2 で 2 月 23 日にリリース予定)
    • 1.9.4(2 月 15 日でスケジュール設定済み)
    • 1.8.7(2 月 15 日でスケジュール設定済み)

    このパッチで対処される脆弱性

    GKE クラスタ

    説明 重大度

    Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。

    詳細については、COS リリースノートをご覧ください。

    詳細な技術情報

    CVE-2021-4154 では、攻撃者が fsconfig システム呼び出しパラメータを悪用して、Linux カーネルで use-after-free バグをトリガーし、root 権限を取得してしまうおそれがあります。これは、コンテナ ブレークアウトにつながるローカル権限昇格攻撃です。

    CVE-2021-22600 は packet_set_ring でのダブルフリー脆弱性の悪用であり、ホストノードへのコンテナ エスケープを招くおそれがあります。

    CVE-2022-0185 では、legacy_parse_param() にあるヒープ オーバーフローのバグにより、コンテナのブレークアウトの原因となる範囲外の書き込みを引き起こすことがあります。

    GKE 標準クラスタでデフォルトのコンテナ ランタイム seccomp プロファイルを手動で有効にしたユーザーも保護されます。

    必要な対策

    GKE on AWS

    次の GKE on AWS バージョン用の Linux ノードイメージ バージョンは、この脆弱性を修正するコードで更新されています。クラスタを次の GKE on AWS バージョンにアップグレードしてください。

    • 1.21.6-gke.1500 以降(2 月にリリース)

    GKE on AWS(前の世代)

    これらの脆弱性を修正するコードを使用して、次のバージョンの GKE on AWS(前の世代)の Linux ノードイメージのバージョンを更新しました。クラスタを次のいずれかの GKE on AWS(前世代)バージョンにアップグレードします。

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    このパッチで対処される脆弱性

    GKE Enterprise

    説明 重大度

    Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。

    詳細については、COS リリースノートをご覧ください。

    詳細な技術情報

    CVE-2021-4154 では、攻撃者が fsconfig システム呼び出しパラメータを悪用して、Linux カーネルで use-after-free バグをトリガーし、root 権限を取得してしまうおそれがあります。これは、コンテナ ブレークアウトにつながるローカル権限昇格攻撃です。

    CVE-2021-22600 は packet_set_ring でのダブルフリー脆弱性の悪用であり、ホストノードへのコンテナ エスケープを招くおそれがあります。

    CVE-2022-0185 では、legacy_parse_param() にあるヒープ オーバーフローのバグにより、コンテナのブレークアウトの原因となる範囲外の書き込みを引き起こすことがあります。

    GKE 標準クラスタでデフォルトのコンテナ ランタイム seccomp プロファイルを手動で有効にしたユーザーも保護されます。

    必要な対策

    次の GKE on Azure バージョンの Linux ノードイメージ バージョンは、これらの脆弱性を修正するコードで更新されています。クラスタを次の GKE on Azure バージョンにアップグレードしてください。

    • 1.21.6-gke.1500 以降(2 月にリリース)

    このパッチで対処される脆弱性

    GCP-2021-024

    公開日: 2021 年 10 月 21 日
    参考情報: CVE-2021-25742

    GKE

    説明 重大度

    Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

    必要な対策

    このセキュリティの問題は、GKE クラスタ インフラストラクチャや GKE Enterprise 環境のクラスタ インフラストラクチャには影響しません。ワークロードのデプロイで ingress-nginx を使用する場合は、このセキュリティの問題に注意する必要があります。詳細については、Ingress-nginx の問題 7837 をご覧ください。

    なし

    GKE クラスタ

    説明 重大度

    Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

    必要な対策

    このセキュリティの問題は、GKE クラスタ インフラストラクチャや GKE Enterprise 環境のクラスタ インフラストラクチャには影響しません。ワークロードのデプロイで ingress-nginx を使用する場合は、このセキュリティの問題に注意する必要があります。詳細については、Ingress-nginx の問題 7837 をご覧ください。

    なし

    GKE クラスタ

    説明 重大度

    Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

    必要な対策

    このセキュリティの問題は、GKE クラスタ インフラストラクチャや GKE Enterprise 環境のクラスタ インフラストラクチャには影響しません。ワークロードのデプロイで ingress-nginx を使用する場合は、このセキュリティの問題に注意する必要があります。詳細については、Ingress-nginx の問題 7837 をご覧ください。

    なし

    GKE クラスタ

    説明 重大度

    Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

    必要な対策

    このセキュリティの問題は、GKE クラスタ インフラストラクチャや GKE Enterprise 環境のクラスタ インフラストラクチャには影響しません。ワークロードのデプロイで ingress-nginx を使用する場合は、このセキュリティの問題に注意する必要があります。詳細については、Ingress-nginx の問題 7837 をご覧ください。

    なし

    GCP-2021-019

    公開日: 2021 年 9 月 29 日

    GKE

    説明 重大度

    v1beta1 API を使用して BackendConfig リソースを更新すると、Service からアクティブな Google Cloud Armor セキュリティ ポリシーが削除されるという既知の問題があります。

    影響

    BackendConfigv1beta1 API ですでに更新されている場合、Google Cloud Armor セキュリティ ポリシーが削除されている可能性があります。この問題が発生しているかどうかを確認するには、次のコマンドを実行します

    
    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • レスポンスが出力を返す場合: クラスタはこの問題の影響を受けています。 このコマンドは、問題の影響を受ける BackendConfig リソース(<namespace>/<name>)のリストを返します。
    • 出力が空の場合: 問題が発生してから v1beta1 API で BackendConfig が更新されていません。BackendConfig の今後の更新では、v1 のみを使用する必要があります

    この問題は、次の GKE バージョンに影響します。

    • 1.18.19-gke.1400~1.18.20-gke.5100(限定的)
    • 1.19.10-gke.700~1.19.14-gke.300(限定的)
    • 1.20.6-gke.700~1.20.9-gke.900(限定的)
    • 1.21~1.21.1-gke.2700(限定的)

    BackendConfig を使用して Ingress リソースに Google Cloud Armor を構成していない場合、クラスタへの影響はありません。

    必要な対策

    この問題にパッチを適用し、v1beta1 BackendConfig リソースを安全に使用できるようにする、次のいずれかの更新バージョンに GKE コントロール プレーンをアップグレードします。

    • 1.21.1-gke.2700 以降
    • 1.20.9-gke.900 以降
    • 1.19.14-gke.300 以降
    • 1.18.20-gke.5100 以降

    この問題は、v1beta1 BackendConfig リソースのデプロイを回避して防止することもできます。BackendConfig を使用して Ingress リソースに Google Cloud Armor を構成し、上述の手順により影響を受けることが判明した場合は、cloud.google.com/v1 API バージョンを使用する現在の BackendConfig リソースに更新を push して Google Cloud Armor を再度有効にします。

    この問題を回避するには、BackendConfig の更新を v1 BackendConfig API のみで行います

    v1 BackendConfigv1beta1 と同じフィールドをすべてサポートし、互換性を破る変更がないため、API フィールドを透過的に更新できます。これを行うには、アクティブな BackendConfig マニフェストの apiVersion フィールドを cloud.google.com/v1置換します。cloud.google.com/v1beta1 は使用しないでください

    次のサンプル マニフェストは、v1 API を使用する BackendConfig リソースを記述しています。

    
    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    BackendConfig リソースを定期的に更新する CI / CD システムまたはツールがある場合は、これらのシステムで cloud.google.com/v1 API グループを使用していることを確認してください

    GCP-2021-022

    公開日: 2021 年 9 月 23 日

    GKE クラスタ

    説明 重大度

    GKE on VMware バージョン 1.8 および 1.8.1 の GKE Enterprise Identity Service(AIS)LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。

    詳細な技術情報

    AIS コードに最近追加された機能では、Go 言語の math / rand モジュールを使用して対称鍵が作成されますが、これはセキュリティが重視されるコードには適していません。予測可能な鍵の生成では、このモジュールが使用されています。ID の検証時に、安全なトークン サービス(STS)鍵が生成され、つづいて簡単に生成できる対称鍵で暗号化されます。

    必要な対策

    この脆弱性は、GKE on VMware バージョン 1.8 および 1.8.1 の AIS を使用しているお客様にのみ影響します。GKE on VMware 1.8 を使用している場合は、クラスタを次のバージョンにアップグレードしてください。

    • 1.8.2

    GCP-2021-021

    公開日: 2021 年 9 月 22 日
    参考情報: CVE-2020-8561

    GKE

    説明 重大度

    Kubernetes でセキュリティ脆弱性 CVE-2020-8561 が見つかりました。この脆弱性により、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できます。

    詳細な技術情報

    この脆弱性により、MutatingWebhookConfiguration リクエストまたは ValidatingWebhookConfiguration リクエストのレスポンスを制御する操作者が、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトできてしまいます。ログレベルが 10 に設定されているときにユーザーが kube-apiserver ログを表示できる場合は、リダイレクトされたレスポンスとヘッダーをログで確認できます。

    この問題は、API サーバーの特定のパラメータを変更することで軽減できます。

    必要な対策

    現時点では、お客様によるご対応の必要はありません。

    現在利用可能な GKE と GKE Enterprise のバージョンでは、この種類の攻撃から保護するために、次の緩和策が実装されています。

    • kube-apiserver--profiling フラグは、false に設定されます。
    • kube-apiserver ログレベルは、10 未満に設定されます。

    このパッチで対処される脆弱性

    CVE-2020-8561

    GKE クラスタ

    説明 重大度

    Kubernetes でセキュリティ脆弱性 CVE-2020-8561 が見つかりました。この脆弱性により、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できます。

    詳細な技術情報

    この脆弱性により、MutatingWebhookConfiguration リクエストまたは ValidatingWebhookConfiguration リクエストのレスポンスを制御する操作者が、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトできてしまいます。ログレベルが 10 に設定されているときにユーザーが kube-apiserver ログを表示できる場合は、リダイレクトされたレスポンスとヘッダーをログで確認できます。

    この問題は、API サーバーの特定のパラメータを変更することで軽減できます。

    必要な対策

    現時点では、お客様によるご対応の必要はありません。

    現在利用可能な GKE と GKE Enterprise のバージョンでは、この種類の攻撃から保護するために、次の緩和策が実装されています。

    • kube-apiserver--profiling フラグは、false に設定されます。
    • kube-apiserver ログレベルは、10 未満に設定されます。

    このパッチで対処される脆弱性

    CVE-2020-8561

    GKE クラスタ

    説明 重大度

    Kubernetes でセキュリティ脆弱性 CVE-2020-8561 が見つかりました。この脆弱性により、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できます。

    詳細な技術情報

    この脆弱性により、MutatingWebhookConfiguration リクエストまたは ValidatingWebhookConfiguration リクエストのレスポンスを制御する操作者が、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトできてしまいます。ログレベルが 10 に設定されているときにユーザーが kube-apiserver ログを表示できる場合は、リダイレクトされたレスポンスとヘッダーをログで確認できます。

    この問題は、API サーバーの特定のパラメータを変更することで軽減できます。

    必要な対策

    現時点では、お客様によるご対応の必要はありません。

    現在利用可能な GKE と GKE Enterprise のバージョンでは、この種類の攻撃から保護するために、次の緩和策が実装されています。

    • kube-apiserver--profiling フラグは、false に設定されます。
    • kube-apiserver ログレベルは、10 未満に設定されます。

    このパッチで対処される脆弱性

    CVE-2020-8561

    GKE クラスタ

    説明 重大度

    Kubernetes でセキュリティ脆弱性 CVE-2020-8561 が見つかりました。この脆弱性により、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できます。

    詳細な技術情報

    この脆弱性により、MutatingWebhookConfiguration リクエストまたは ValidatingWebhookConfiguration リクエストのレスポンスを制御する操作者が、kube-apiserver リクエストを API サーバーのプライベート ネットワークにリダイレクトできてしまいます。ログレベルが 10 に設定されているときにユーザーが kube-apiserver ログを表示できる場合は、リダイレクトされたレスポンスとヘッダーをログで確認できます。

    この問題は、API サーバーの特定のパラメータを変更することで軽減できます。

    必要な対策

    現時点では、お客様によるご対応の必要はありません。

    現在利用可能な GKE と GKE Enterprise のバージョンでは、この種類の攻撃から保護するために、次の緩和策が実装されています。

    • kube-apiserver--profiling フラグは、false に設定されます。
    • kube-apiserver ログレベルは、10 未満に設定されます。

    このパッチで対処される脆弱性

    CVE-2020-8561

    GCP-2021-018

    公開日: 2021 年 9 月 15 日
    更新日: 2021 年 9 月 24 日
    参考情報: CVE-2021-25741

    2021 年 9 月 24 日更新: ベアメタル版 GKE のセキュリティ情報にパッチ適用済みバージョンを追加しました。

    2021 年 9 月 20 日更新: ベアメタル版 GKE に関する情報を追加しました。

    2021 年 9 月 16 日更新: GKE on VMware に関する情報を追加しました。


    GKE

    説明 重大度

    セキュリティの問題(CVE-2021-25741)が Kubernetes に見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

    詳細な技術情報:

    CVE-2021-25741 では、攻撃者はマウントされた emptyDir からノードのルート ファイルシステム(/)へのシンボリック リンクを作成でき、kubelet がシンボリック リンクをたどり、ホストのルートをコンテナにマウントします。

    必要な対策

    ノードプールを次のいずれかのバージョン以上にアップグレードして、最新のパッチを利用することをおすすめします。

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    この修正は、次のバージョンにも含まれています。

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001

    GKE クラスタ

    説明 重大度

    セキュリティの問題(CVE-2021-25741)が Kubernetes に見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

    詳細な技術情報:

    CVE-2021-25741 では、攻撃者はマウントされた emptyDir からノードのルート ファイルシステム(/)へのシンボリック リンクを作成でき、kubelet がシンボリック リンクをたどり、ホストのルートをコンテナにマウントします。

    必要な対策

    2021 年 9 月 24 日更新: パッチ適用済みバージョン 1.8.3 および 1.7.4 が利用可能になりました。

    2021 年 9 月 17 日更新: パッチを含む使用可能なバージョンのリストを修正しました。


    以下のバージョンの GKE on VMware は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のバージョンのいずれかにアップグレードしてください。

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5

    GKE クラスタ

    説明 重大度

    セキュリティの問題(CVE-2021-25741)が Kubernetes に見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

    詳細な技術情報:

    CVE-2021-25741 では、攻撃者はマウントされた emptyDir からノードのルート ファイルシステム(/)へのシンボリック リンクを作成でき、kubelet がシンボリック リンクをたどり、ホストのルートをコンテナにマウントします。

    必要な対策

    2021 年 9 月 16 日更新: AWSCluster オブジェクトと AWSNodePool オブジェクトでサポートされた gke-versions のリストを追加しました。


    次のバージョンの GKE on AWS は更新されており、この脆弱性を修正するためのコードが追加されています。次のことをおすすめします。

    • AWSManagementServiceAWSClusterAWSNodePool オブジェクトを、次のバージョンにアップグレードする。
      • 1.8.2
    • AWSCluster オブジェクトと AWSNodePool オブジェクトの gke-version を、サポートされた Kubernetes バージョンのいずれかに更新する。
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600

    GKE クラスタ

    説明 重大度

    セキュリティの問題(CVE-2021-25741)が Kubernetes に見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

    詳細な技術情報:

    CVE-2021-25741 では、攻撃者はマウントされた emptyDir からノードのルート ファイルシステム(/)へのシンボリック リンクを作成でき、kubelet がシンボリック リンクをたどり、ホストのルートをコンテナにマウントします。

    必要な対策

    次のバージョンの ベアメタル版 GKE は更新されており、この脆弱性を修正するためのコードが追加されています。管理クラスタとユーザー クラスタを、次のバージョンのいずれかにアップグレードしてください。

    • 1.8.3
    • 1.7.4

    GCP-2021-017

    公開日: 2021 年 9 月 1 日
    更新日: 2021 年 9 月 23 日
    参考情報: CVE-2021-33909
    CVE-2021-33910

    GKE

    説明 重大度
    2021 年 9 月 23 日更新:

    GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。


    2021 年 9 月 15 日更新:

    脆弱性に対処する GKE バージョンは次のとおりです。

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。

    詳細な技術情報:

    CVE-2021-33909 では、Linux カーネルのファイルシステム レイヤで seq バッファの割り当てが適切に制限されないため、整数オーバーフロー、境界外書き込み、root へのエスカレーションが発生します。
    CVE-2021-33910 では、systemd のメモリ割り当てに過剰なサイズ値(ローカル 攻撃者に制御されるパス名に strdupaalloca を含む)が設定され、オペレーティング システムがクラッシュする原因となります。

    必要な対策

    この脆弱性を修正するコードにより、次のバージョンの GKE の Linux ノードイメージのバージョンが更新されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    GKE クラスタ

    説明 重大度

    Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。

    詳細な技術情報:

    CVE-2021-33909 では、Linux カーネルのファイルシステム レイヤで seq バッファの割り当てが適切に制限されないため、整数オーバーフロー、境界外書き込み、root へのエスカレーションが発生します。
    CVE-2021-33910 では、systemd のメモリ割り当てに過剰なサイズ値(ローカル 攻撃者に制御されるパス名に strdupaalloca を含む)が設定され、オペレーティング システムがクラッシュする原因となります。

    必要な対策

    GKE on AWS の Linux ノードイメージのバージョンが更新され、この脆弱性が修正されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800

    GKE クラスタ

    説明 重大度

    Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。

    詳細な技術情報:

    CVE-2021-33909 では、Linux カーネルのファイルシステム レイヤで seq バッファの割り当てが適切に制限されないため、整数オーバーフロー、境界外書き込み、root へのエスカレーションが発生します。
    CVE-2021-33910 では、systemd のメモリ割り当てに過剰なサイズ値(ローカル 攻撃者に制御されるパス名に strdupaalloca を含む)が設定され、オペレーティング システムがクラッシュする原因となります。

    必要な対策

    この脆弱性を修正するコードにより、GKE on VMware の Linux と COS のノードイメージ バージョンが更新されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4(Linux のみ)

    バージョン履歴 -- Kubernetes とノードのカーネル バージョンをご覧ください。

    GCP-2021-015

    公開日: 2021 年 7 月 13 日
    更新日: 2021 年 7 月 15 日
    参考情報: CVE-2021-22555

    GKE

    説明 重大度

    新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、CAP_NET_ADMIN 権限を持つ悪意のある人物が、ホストへのルート上でコンテナ ブレイクアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行しているすべての GKE クラスタと GKE on VMware に影響します。

    詳細な技術情報

    この攻撃では、Linux の netfilter サブシステムで setsockopt に範囲外書き込みが行われ、ヒープの破損(とそれに続くサービス拒否攻撃)および権限昇格が発生する可能性があります。

    必要な対策

    この脆弱性を修正するコードにっより、GKE 上の Linux の次のバージョンが更新されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    このパッチで対処される脆弱性

    CVE-2021-22555

    GKE クラスタ

    説明 重大度

    新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、CAP_NET_ADMIN 権限を持つ悪意のある人物が、ホストへのルート上でコンテナ ブレイクアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行しているすべての GKE クラスタと GKE on VMware に影響します。

    詳細な技術情報

    この攻撃では、Linux の netfilter サブシステムで setsockopt に範囲外書き込みが行われ、ヒープの破損(とそれに続くサービス拒否攻撃)および権限昇格が発生する可能性があります。

    必要な対策

    この脆弱性を修正するコードにより、GKE on VMware の Linux の次のバージョンが更新されました。クラスタは、次のいずれかのバージョンにアップグレードしてください。

    • 1.8
    • 1.7.3
    • 1.6.4

    このパッチで対処される脆弱性

    CVE-2021-22555

    GCP-2021-014

    公開日: 2021 年 7 月 5 日
    参考情報: CVE-2021-34527

    GKE

    説明 重大度

    Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行(RCE)の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center(CERT/CC)は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します。Printnightmare、重大な Windows 印刷スプーラーの脆弱性

    必要な対策

    ご対応は必要ありません。影響を受ける Spooler サービスはGKE Windows ノードのベースイメージの一部として含まれていないため、GKE Windows デプロイメントはこの攻撃を受けません。

    この情報で対処される脆弱性

    GCP-2021-012

    公開日: 2021 年 7 月 1 日
    更新日: 2021 年 7 月 9 日
    参考情報: CVE-2021-34824

    GKE

    説明 重大度

    必要な対策

    先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-34824)が公表されました。Istio には、リモートから悪用できる脆弱性が存在します。この脆弱性により、Gateway と DestinationRule の credentialName フィールドで指定された認証情報に、異なる名前空間からアクセスできます。

    詳細な技術情報:

    Istio セキュア ゲートウェイDestinationRule を使用するワークロードでは、credentialName の構成を使用して、Kubernetes Secret から TLS 秘密鍵と証明書を読み込むことができます。Istio 1.8 以降、Secret は istiod から読み取られ、XDS を使用してゲートウェイとワークロードに表示されます。

    通常、ゲートウェイまたはワークロードのデプロイは、名前空間内の Secret に保存されている TLS 証明書と秘密鍵にのみアクセスできます。ただし、istiod のバグにより、Istio XDS API へのアクセスが承認されたクライアントが、istiod でキャッシュされた TLS 証明書と秘密鍵を取得できます。

    必要な対策

    GKE クラスタは、デフォルトでは Istio を実行しません。有効にすると、この攻撃に対して脆弱ではない Istio バージョン 1.6 が使用されます。クラスタ上の Istio を Istio 1.8 以降にインストールまたはアップグレードした場合は、Istio をサポートされている最新バージョンにアップグレードしてください。

    GKE クラスタ

    説明 重大度

    必要な対策

    先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-34824)が公表されました。Istio には、リモートから悪用できる脆弱性が存在します。この脆弱性により、Gateway と DestinationRule の credentialName フィールドで指定された認証情報に、異なる名前空間からアクセスできます。

    詳細な技術情報:

    Istio セキュア ゲートウェイDestinationRule を使用するワークロードでは、credentialName の構成を使用して、Kubernetes Secret から TLS 秘密鍵と証明書を読み込むことができます。Istio 1.8 以降、Secret は istiod から読み取られ、XDS を使用してゲートウェイとワークロードに表示されます。

    通常、ゲートウェイまたはワークロードのデプロイは、名前空間内の Secret に保存されている TLS 証明書と秘密鍵にのみアクセスできます。ただし、istiod のバグにより、Istio XDS API へのアクセスが承認されたクライアントが、istiod でキャッシュされた TLS 証明書と秘密鍵を取得できます。

    必要な対策

    Anthos clusters on VMware v1.6 と v1.7 はこの攻撃に対する脆弱性はありません。Anthos clusters on VMware v1.8 は脆弱です。

    Anthos clusters on VMware v1.8 を使用している場合は、次のパッチ適用済みバージョン以降のバージョンにアップグレードします。

    • 1.8.0-gke.25

    GKE クラスタ

    説明 重大度

    必要な対策

    先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-34824)が公表されました。Istio には、リモートから悪用できる脆弱性が存在します。この脆弱性により、Gateway と DestinationRule の credentialName フィールドで指定された認証情報に、異なる名前空間からアクセスできます。

    詳細な技術情報:

    Istio セキュア ゲートウェイDestinationRule を使用するワークロードでは、credentialName の構成を使用して、Kubernetes Secret から TLS 秘密鍵と証明書を読み込むことができます。Istio 1.8 以降、Secret は istiod から読み取られ、XDS を使用してゲートウェイとワークロードに表示されます。

    通常、ゲートウェイまたはワークロードのデプロイは、名前空間内の Secret に保存されている TLS 証明書と秘密鍵にのみアクセスできます。ただし、istiod のバグにより、Istio XDS API へのアクセスが承認されたクライアントが、istiod でキャッシュされた TLS 証明書と秘密鍵を取得できます。ベアメタル版 Anthos クラスタ v1.8.0 で作成またはアップグレードされたクラスタは、この CVE の影響を受けます。

    必要な対策

    Anthos v1.6 と v1.7 にはこの攻撃に対する脆弱性はありません。v1.8.0 クラスタがある場合は、1.8.1 バージョンの bmctl をダウンロードしてインストールし、クラスタを以下のパッチ適用済みバージョンにアップグレードします。

    • 1.8.1

    GCP-2021-011

    公開日: 2021 年 6 月 4 日
    更新日: 2021 年 10 月 19 日
    参考情報: CVE-2021-30465

    2021 年 10 月 19 日更新: GKE on VMware、GKE on AWS、ベアメタル版 GKE に関する情報を追加しました。

    GKE

    説明 重大度

    先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)を発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

    この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。

    詳細な技術情報

    runc パッケージは、ボリュームをマウントするときにシンボリック リンク交換攻撃に対して脆弱です。

    この攻撃では、シンボリック リンクで同じボリューム マウントを共有する複数の Pod を 1 つのノードで同時に開始することで、競合状態が悪用される可能性があります。

    攻撃が成功すると、Pod の 1 つがルート権限を使用してノードのファイル システムをマウントします。

    必要な対策

    この脆弱性を修正する runc(1.0.0-rc95)に新しくリリースされたパッチがあります。

    GKE クラスタを次のいずれかの更新されたバージョンにアップグレードします。

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    GKE クラスタ

    説明 重大度

    先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)を発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

    この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE on VMware では、この脆弱性の重大度を MEDIUM と評価しています。

    詳細な技術情報

    runc パッケージは、ボリュームをマウントするときにシンボリック リンク交換攻撃に対して脆弱です。

    この攻撃では、シンボリック リンクで同じボリューム マウントを共有する複数の Pod を 1 つのノードで同時に開始することで、競合状態が悪用される可能性があります。

    攻撃が成功すると、Pod の 1 つがルート権限を使用してノードのファイル システムをマウントします。

    必要な対策

    この脆弱性を修正する runc に新しくリリースされたパッチがあります。GKE on VMware を次のいずれかのバージョンにアップグレードします。

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    GKE クラスタ

    説明 重大度

    先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)を発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

    これは OS レベルの脆弱性であるため、GKE on AWS は脆弱ではありません。

    詳細な技術情報

    runc パッケージは、ボリュームをマウントするときにシンボリック リンク交換攻撃に対して脆弱です。

    この攻撃では、シンボリック リンクで同じボリューム マウントを共有する複数の Pod を 1 つのノードで同時に開始することで、競合状態が悪用される可能性があります。

    攻撃が成功すると、Pod の 1 つがルート権限を使用してノードのファイル システムをマウントします。

    必要な対策

    GKE on AWS を実行している OS バージョンが、更新された runc パッケージを含む最新の OS バージョンにアップグレードされていることを確認します。

    なし

    GKE クラスタ

    説明 重大度

    先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)を発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

    これは OS レベルの脆弱性であるため、ベアメタル版 GKE は脆弱ではありません。

    詳細な技術情報

    runc パッケージは、ボリュームをマウントするときにシンボリック リンク交換攻撃に対して脆弱です。

    この攻撃では、シンボリック リンクで同じボリューム マウントを共有する複数の Pod を 1 つのノードで同時に開始することで、競合状態が悪用される可能性があります。

    攻撃が成功すると、Pod の 1 つがルート権限を使用してノードのファイル システムをマウントします。

    必要な対策

    Google Distributed Cloud Virtual for Bare Metal を実行している OS バージョンが、更新された runc パッケージを含む最新の OS バージョンにアップグレードされていることを確認します。

    なし

    GCP-2021-006

    公開日: 2021 年 5 月 11 日
    参考情報: CVE-2021-31920

    GKE

    説明 重大度

    先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-31920)が公表されました。

    Istio には、パスベースの認可ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。

    必要な対策

    GKE クラスタを更新して再構成することを強くおすすめします。脆弱性を正常に解決するには、以下の両方の手順を実行することが重要です。

    1. クラスタの更新: できるだけ早く次の手順を行い、クラスタを最新のパッチ バージョンにアップグレードしてください。
      • Istio on GKE 1.6 を使用している場合

        最新のパッチ リリース バージョンは、1.6.14-gke.3 です。クラスタを最新バージョンにアップグレードするには、アップグレード手順を行ってください。

      • Istio on GKE 1.4 を使用している場合
      • Istio on GKE 1.4 リリースは、Istio のサポート対象から外れたため、CVE の修正がこれらのバージョンに遡って適用されることはありませんIstio のアップグレード手順に沿ってクラスタを 1.6 にアップグレードした後、上記の手順に沿って Istio on GKE 1.6 の最新バージョンにしてください。

    2. Istio の構成

      クラスタにパッチを適用したら、Istio on GKE を再構成する必要があります。システムを正しく構成するには、セキュリティのベスト プラクティス ガイドをご覧ください。

    GCP-2021-004

    公開日: 2021 年 5 月 6 日
    参考情報: CVE-2021-28683CVE-2021-28682CVE-2021-29258

    GKE

    説明 重大度

    先ごろ、Envoy および Istio プロジェクトでは、複数の新しいセキュリティ上の脆弱性(CVE-2021-28683CVE-2021-28682CVE-2021-29258)が公表されました。この脆弱性より、攻撃者は Envoy をクラッシュさせることが可能になります。

    GKE クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、そうしたサービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。

    必要な対策

    これらの脆弱性を修正するには、次のいずれかのパッチ バージョンに GKE コントロール プレーンをアップグレードします。

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400

    GKE クラスタ

    説明 重大度

    先ごろ、Envoy および Istio プロジェクトでは、複数の新しいセキュリティ上の脆弱性(CVE-2021-28683CVE-2021-28682CVE-2021-29258)が公表されました。この脆弱性より、攻撃者は Envoy をクラッシュさせることが可能になります。

    GKE on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。

    必要な対策

    これらの脆弱性を修正するには、リリース時に GKE on VMware を次のいずれかのパッチ適用済みバージョンにアップグレードします。

    • 1.5.4
    • 1.6.3
    • 1.7.1

    GKE クラスタ

    更新日: 2021 年 5 月 6 日

    説明 重大度

    先ごろ、Envoy および Istio プロジェクトでは、複数の新しいセキュリティ上の脆弱性(CVE-2021-28683CVE-2021-28682CVE-2021-29258)が公表されました。この脆弱性より、攻撃者は Envoy をクラッシュさせることが可能になります。

    Google Distributed Cloud Virtual for Bare Metal では、デフォルトで Ingress に Envoy が使用されるため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。

    必要な対策

    これらの脆弱性を修正するには、リリース時に Google Distributed Cloud Virtual for Bare Metal クラスタを次のいずれかのパッチ適用済みバージョンにアップグレードします。

    • 1.6.3
    • 1.7.1

    GCP-2021-003

    公開日: 2021 年 4 月 19 日
    参考情報: CVE-2021-25735

    GKE

    説明 重大度

    先ごろ、Kubernetes プロジェクトにより、新しいセキュリティ上の脆弱性 CVE-2021-25735公表されました。この脆弱性により、ノードの更新で Validating Admission Webhook が迂回される可能性があります。

    攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、インストールされている他の Admission Webhook は確認することをおすすめします。

    必要な対策

    この脆弱性を修正するには、次のパッチ適用済みバージョンのいずれかに GKE クラスタをアップグレードします。

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900

    GKE クラスタ

    説明 重大度

    先ごろ、Kubernetes プロジェクトにより、新しいセキュリティ上の脆弱性 CVE-2021-25735公表されました。この脆弱性により、ノードの更新で Validating Admission Webhook が迂回される可能性があります。

    攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、インストールされている他の Admission Webhook は確認することをおすすめします。

    必要な対策

    近日中に公開されるパッチ バージョンには、この脆弱性に対する改善策が組み込まれます。

    GKE クラスタ

    説明 重大度

    先ごろ、Kubernetes プロジェクトにより、新しいセキュリティ上の脆弱性 CVE-2021-25735公表されました。この脆弱性により、ノードの更新で Validating Admission Webhook が迂回される可能性があります。

    攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、インストールされている他の Admission Webhook は確認することをおすすめします。

    必要な対策

    近日中に公開されるパッチ バージョンには、この脆弱性に対する改善策が組み込まれます。

    GKE クラスタ

    説明 重大度

    先ごろ、Kubernetes プロジェクトにより、新しいセキュリティ上の脆弱性 CVE-2021-25735公表されました。この脆弱性により、ノードの更新で Validating Admission Webhook が迂回される可能性があります。

    攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、インストールされている他の Admission Webhook は確認することをおすすめします。

    必要な対策

    近日中に公開されるパッチ バージョンには、この脆弱性に対する改善策が組み込まれます。

    GCP-2021-001

    公開日: 2021 年 1 月 28 日
    参考情報: CVE-2021-3156

    GKE

    説明 重大度

    先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

    Google Kubernetes Engine(GKE)クラスタには、この脆弱性による影響はありません。

    • GKE ノードへの SSH アクセスが認可されたユーザーは、すでに高い権限が付与されているため、設計上 sudo を使用して root 権限を取得できます。このシナリオでは、脆弱性によって権限昇格の別の経路ができることはありません。
    • GKE のシステム コンテナは、ほとんどがシェルや sudo をインストールしていない distroless のベースイメージでビルドされています。他のイメージは、sudo を含まない debian ベースのイメージでビルドされています。sudo が存在していて、コンテナ内の sudo にアクセスしても、コンテナの境界のためホストへのアクセス権は付与されません。

    必要な対策

    GKE クラスタでは、この脆弱性の影響を受けないため、追加のアクションは不要です。

    GKE には、次の定期リリースでこの脆弱性に対するパッチが適用される予定です。

    なし

    GKE クラスタ

    説明 重大度

    先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

    GKE on VMware はこの脆弱性の影響を受けません。

    • GKE on VMware ノードへの SSH アクセスが認可されたユーザーは、すでに高い権限が付与されているため、設計上 sudo を使用して root 権限を取得できます。このシナリオでは、脆弱性によって権限昇格の別の経路ができることはありません。
    • GKE on VMware のシステム コンテナは、ほとんどがシェルや sudo をインストールしていない distroless のベースイメージでビルドされています。他のイメージは、sudo を含まない debian ベースのイメージでビルドされています。仮に sudo があったとしても、コンテナ内の sudo へのアクセスは、コンテナの境界があるため、そのホストへのアクセスができません。

    必要な対策

    GKE on VMware クラスタでは、この脆弱性の影響を受けないため、追加のアクションは不要です。

    GKE on VMware には、次の定期リリースでこの脆弱性に対するパッチが適用される予定です。

    なし

    GKE クラスタ

    説明 重大度

    先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

    GKE on AWS は、この脆弱性の影響を受けません。

    • GKE on AWS ノードへの SSH アクセスが認可されたユーザーは、すでに高い権限が付与されているため、設計上 sudo を使用して root 権限を取得できます。このシナリオでは、脆弱性によって権限昇格の別の経路ができることはありません。
    • GKE on AWS のシステム コンテナは、ほとんどがシェルや sudo をインストールしていない distroless のベースイメージでビルドされています。他のイメージは、sudo を含まない debian ベースのイメージでビルドされています。仮に sudo があったとしても、コンテナ内の sudo へのアクセスは、コンテナの境界があるため、そのホストへのアクセスができません。

    必要な対策

    GKE on AWS クラスタでは、この脆弱性の影響を受けないため、追加のアクションは不要です。

    GKE on AWS には、次の定期リリースでこの脆弱性に対するパッチが適用される予定です。

    なし

    GKE クラスタ

    説明 重大度

    先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

    Google Distributed Cloud Virtual for Bare Metal クラスタは、この脆弱性の影響を受けません。

    • Google Distributed Cloud Virtual for Bare Metal のノードへの SSH アクセスが認可されたユーザーは、すでに高い権限が付与されているため、設計上 sudo を使用して root 権限を取得できます。このシナリオでは、脆弱性によって権限昇格の別の経路ができることはありません。
    • Google Distributed Cloud Virtual for Bare Metal のシステム コンテナは、ほとんどがシェルや sudo をインストールしていない distroless のベースイメージでビルドされています。他のイメージは、sudo を含まない debian ベースのイメージでビルドされています。仮に sudo があったとしても、コンテナ内の sudo へのアクセスは、コンテナの境界があるため、そのホストへのアクセスができません。

    必要な対策

    Google Distributed Cloud Virtual for Bare Metal クラスタは、この脆弱性の影響を受けないため、追加のアクションは不要です。

    Google Distributed Cloud Virtual for Bare Metal には、次の定期リリースでこの脆弱性に対するパッチが適用される予定です。

    なし

    GCP-2020-015

    公開日: 2020 年 12 月 7 日
    更新日: 2021 年 12 月 22 日
    参考情報: CVE-2020-8554

    2021 年 12 月 22 日更新: gcloud コマンドの代わりに gcloud beta を使用します。

    2021 年 12 月 15 日更新: GKE に対する別の緩和策を追加しました。

    GKE

    説明 重大度
    更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。
    1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
    2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
      
      gcloud container clusters update –no-enable-service-externalips
      

    詳細については、クラスタのセキュリティの強化をご覧ください。


    Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者により、クラスタ内の他の Pod から発信されるネットワーク トラフィックが傍受される可能性があります。

    この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

    すべての Google Kubernetes Engine(GKE)クラスタが、この脆弱性の影響を受けます。

    必要な対策

    この脆弱性に対処するため、Kubernetes では、今後のバージョンで下位互換性のない設計変更が必要になる可能性があります。

    多くのユーザーが、マルチテナント クラスタなど、Service を作成する権限を持つクラスタへのアクセス権を共有している場合は、それまでの間、改善策の適用を検討してください。現時点で最も効果のある改善策は、クラスタでの ExternalIPs の使用を制限することです。ExternalIPs は一般的に使用される機能ではありません。

    クラスタでの ExternalIPs の使用を制限するには、次のいずれかの方法を使用します。

    1. GKE Enterprise Policy Controller または Gatekeeper をこの制約テンプレートで使用して、この機能を適用します。例:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. または、アドミッション コントローラをインストールして ExternalIP を使用しないようにします。 Kubernetes プロジェクトには、このタスク用のサンプル アドミッション コントローラが用意されています。

    Kubernetes に関するお知らせで説明しているとおり、LoadBalancer タイプの Service には改善策がありません。これは、デフォルトでは、高い権限を持つユーザーとシステム コンポーネントのみがこの脆弱性を利用するために必要な container.services.updateStatus 権限を付与されるためです。

    GKE クラスタ

    説明 重大度
    更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。
    1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
    2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
      
      gcloud container clusters update –no-enable-service-externalips
      

    詳細については、クラスタのセキュリティの強化をご覧ください。


    Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者により、クラスタ内の他の Pod から発信されるネットワーク トラフィックが傍受される可能性があります。

    この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

    すべての GKE on VMware は、この脆弱性の影響を受けます。

    必要な対策

    この脆弱性に対処するため、Kubernetes では、今後のバージョンで下位互換性のない設計変更が必要になる可能性があります。

    多くのユーザーが、マルチテナント クラスタなど、Service を作成する権限を持つクラスタへのアクセス権を共有している場合は、それまでの間、改善策の適用を検討してください。現時点で最も効果のある改善策は、クラスタでの ExternalIPs の使用を制限することです。ExternalIPs は一般的に使用される機能ではありません。

    クラスタでの ExternalIPs の使用を制限するには、次のいずれかの方法を使用します。

    1. GKE Enterprise Policy Controller または Gatekeeper をこの制約テンプレートで使用して、この機能を適用します。例:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. または、アドミッション コントローラをインストールして ExternalIP を使用しないようにします。 Kubernetes プロジェクトには、このタスク用のサンプル アドミッション コントローラが用意されています。

    Kubernetes に関するお知らせで説明しているとおり、LoadBalancer タイプの Service には改善策がありません。これは、デフォルトでは、高い権限を持つユーザーとシステム コンポーネントのみがこの脆弱性を利用するために必要な container.services.updateStatus 権限を付与されるためです。

    GKE クラスタ

    説明 重大度
    更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。
    1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
    2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
      
      gcloud container clusters update –no-enable-service-externalips
      

    詳細については、クラスタのセキュリティの強化をご覧ください。


    Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者により、クラスタ内の他の Pod から発信されるネットワーク トラフィックが傍受される可能性があります。

    この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

    AWS クラスタの GKE はすべて、この脆弱性の影響を受けます。

    必要な対策

    この脆弱性に対処するため、Kubernetes では、今後のバージョンで下位互換性のない設計変更が必要になる可能性があります。

    多くのユーザーが、マルチテナント クラスタなど、Service を作成する権限を持つクラスタへのアクセス権を共有している場合は、それまでの間、改善策の適用を検討してください。現時点で最も効果のある改善策は、クラスタでの ExternalIPs の使用を制限することです。ExternalIPs は一般的に使用される機能ではありません。

    クラスタでの ExternalIPs の使用を制限するには、次のいずれかの方法を使用します。

    1. GKE Enterprise Policy Controller または Gatekeeper をこの制約テンプレートで使用して、この機能を適用します。例:
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. または、アドミッション コントローラをインストールして ExternalIP を使用しないようにします。 Kubernetes プロジェクトには、このタスク用のサンプル アドミッション コントローラが用意されています。

    Kubernetes に関するお知らせで説明しているとおり、LoadBalancer タイプの Service には改善策がありません。これは、デフォルトでは、高い権限を持つユーザーとシステム コンポーネントのみがこの脆弱性を利用するために必要な container.services.updateStatus 権限を付与されるためです。

    GCP-2020-014

    公開日: 2020 年 10 月 20 日
    参考情報: CVE-2020-8563CVE -2020-8564CVE-2020-8565CVE-2020-8566

    GKE

    更新日: 2020 年 10 月 20 日

    説明 重大度

    先ごろ、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合に機密データが公開されてしまう複数の問題が見つかりました。問題は次のとおりです。

    • CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
    • CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
    • CVE-2020-8565: Kubernetes における CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合、ログにトークンが漏えいするこれは、GKE Security によって発見されました。
    • CVE-2020-8566: ログレベルが 4 以上の場合、ログに Ceph RBD adminSecret が漏えいする

    GKE は影響を受けません。

    必要な対策

    GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

    なし

    GKE クラスタ

    更新日: 2020 年 10 月 10 日

    説明 重大度

    先ごろ、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合に機密データが公開されてしまう複数の問題が見つかりました。問題は次のとおりです。

    • CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
    • CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
    • CVE-2020-8565: Kubernetes における CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合、ログにトークンが漏えいするこれは、GKE Security によって発見されました。
    • CVE-2020-8566: ログレベルが 4 以上の場合、ログに Ceph RBD adminSecret が漏えいする

    GKE on VMware は影響を受けません。

    必要な対策

    GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

    なし

    GKE クラスタ

    更新日: 2020 年 10 月 20 日

    説明 重大度

    先ごろ、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合に機密データが公開されてしまう複数の問題が見つかりました。問題は次のとおりです。

    • CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
    • CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
    • CVE-2020-8565: Kubernetes における CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合、ログにトークンが漏えいするこれは、GKE Security によって発見されました。
    • CVE-2020-8566: ログレベルが 4 以上の場合、ログに Ceph RBD adminSecret が漏えいする

    GKE on AWS は影響を受けません。

    必要な対策

    GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

    なし

    GCP-2020-012

    公開日: 2020 年 9 月 14 日
    参考情報: CVE-2020-14386

    GKE

    説明 重大度

    先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が見つかりました。この脆弱性により、コンテナがエスケープされ、ホストノードの root 権限が奪われるおそれがあります。

    すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod には、この脆弱性の影響はありません。

    必要な対策

    この脆弱性を修正するには、コントロール プレーンをアップグレードした後、ノードを次に示すパッチ適用済みバージョンのいずれかにアップグレードします。

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    この脆弱性を悪用するには CAP_NET_RAW が必要ですが、通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能や他の強力な機能は、PodSecurityPolicy または Policy Controller を使用してデフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • または、Pod 仕様を更新します。
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    脆弱性 CVE-2020-14386。これは、CAP_NET_RAW が有効なコンテナではカーネルメモリへ 1~10 バイトの書き込みができ、それによってコンテナをエスケープして root 権限を取得できる可能性があるというものです。この脆弱性は、「高」重大度に位置づけられます。

    GKE クラスタ

    更新日: 2020 年 9 月 17 日

    説明 重大度

    先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が見つかりました。この脆弱性により、コンテナがエスケープされ、ホストノードの root 権限が奪われるおそれがあります。

    すべての GKE on VMware ノードが影響を受けます。

    必要な対策

    この脆弱性を修正するには、クラスタをパッチ適用済みバージョンにアップグレードします。この脆弱性に対する修正は、次の {gke_on_prem_name}} バージョン以降に含まれる予定です。また、修正が公開され次第、この情報も更新されます。

    • GKE on VMware 1.4.3 が利用可能になりました。
    • GKE on VMware 1.4.3 が利用可能になりました。

    この脆弱性を悪用するには CAP_NET_RAW が必要ですが、通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能や他の強力な機能は、PodSecurityPolicy または Policy Controller を使用してデフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • または、Pod 仕様を更新します。
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    脆弱性 CVE-2020-14386。これは、CAP_NET_RAW が有効なコンテナではカーネルメモリへ 1~10 バイトの書き込みができ、それによってコンテナをエスケープして root 権限を取得できる可能性があるというものです。この脆弱性は、「高」重大度に位置づけられます。

    GKE クラスタ

    更新日: 2020 年 10 月 13 日

    説明 重大度

    先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が見つかりました。この脆弱性により、コンテナがエスケープされ、ホストノードの root 権限が奪われるおそれがあります。

    すべての GKE on AWS ノードが影響を受けます。

    必要な対策

    この脆弱性を修正するには、管理サービスユーザー クラスタをパッチ適用済みバージョンにアップグレードします。この脆弱性に対する修正は次の GKE on AWS バージョン以降で提供される予定です。修正が公開され次第、この情報も更新する予定です。

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • または、Pod 仕様を更新します。
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    脆弱性 CVE-2020-14386。これは、CAP_NET_RAW が有効なコンテナではカーネルメモリへ 1~10 バイトの書き込みができ、それによってコンテナをエスケープして root 権限を取得できる可能性があるというものです。この脆弱性は、「高」重大度に位置づけられます。

    GCP-2020-011

    公開日: 2020 年 7 月 24 日
    参考情報: CVE-2020-8558

    GKE

    説明 重大度

    先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。Pod の外部からループバック インターフェースにアクセスできないことに依存している Service が侵害される可能性があります。

    GKE クラスタでこの脆弱性が悪用されるため、攻撃者にクラスタの VPC をホストする Google Cloud でネットワーク管理者権限を付与しておく必要があります。この脆弱性だけでは、攻撃者にネットワーク管理者権限は付与されません。このため、この脆弱性には GKE の重大度「低」が割り当てられています。

    必要な対策

    この脆弱性を修正するには、クラスタのノードプールを次の GKE バージョン(以降)にアップグレードします。

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    このパッチで対処される脆弱性

    このパッチは、脆弱性 CVE-2020-8558 を修正します。

    GKE クラスタ

    説明 重大度

    先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。Pod の外部からループバック インターフェースにアクセスできないことに依存している Service が侵害される可能性があります。

    必要な対策

    この脆弱性を修正するには、クラスタをパッチ適用済みバージョンにアップグレードします。この脆弱性に対する修正は、次の GKE on VMware バージョン以降に含まれています。

    • GKE on VMware 1.4.1

    このパッチで対処される脆弱性

    このパッチは、脆弱性 CVE-2020-8558 を修正します。

    GKE クラスタ

    説明 重大度

    先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。Pod の外部からループバック インターフェースにアクセスできないことに依存している Service が侵害される可能性があります。

    攻撃者がユーザー クラスタでこの脆弱性を悪用するには、クラスタ内の EC2 インスタンスで送信元の宛先チェックを無効にする必要があります。そのためには、攻撃者が EC2 インスタンスに対する ModifyInstanceAttribute または ModifyNetworkInterfaceAttribute の AWS IAM 権限を持っている必要があります。このため、この脆弱性には GKE on AWS の重大度「低」が割り当てられています。

    必要な対策

    この脆弱性を修正するには、クラスタをパッチ適用済みバージョンにアップグレードします。次に示す今後の GKE on AWS バージョン以降では、この脆弱性に対する修正が含まれる予定です。

    • GKE on AWS 1.4.1-gke.17

    このパッチで対処される脆弱性

    このパッチは、脆弱性 CVE-2020-8558 を修正します。

    GCP-2020-009

    公開日: 2020 年 7 月 15 日
    参考情報: CVE-2020-8559

    GKE

    説明 重大度

    先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

    攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

    必要な対策

    クラスタをパッチ適用済みバージョンにアップグレードします。クラスタは今後数週間で自動的にアップグレードされ、保存済み手動アップグレード スケジュールに備えて、パッチ適用済みバージョンが 2020 年 7 月 19 日までに配信されます。次の GKE コントロール プレーンのバージョン以降には、この脆弱性の修正が含まれます。

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8559 を軽減します。攻撃者は既存の不正使用ノードに加えて、この攻撃を効果的に悪用するためにクラスタ、ノード、ワークロードについて最初に情報を取得する必要があるため、GKE の脆弱性の重大度評価は「中」です。この脆弱性だけで、不正使用されたノードが攻撃者に提供されることはありません。

    GKE クラスタ

    説明 重大度

    先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

    攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

    必要な対策

    クラスタをパッチ適用済みバージョンにアップグレードします。この脆弱性に対する修正は、次の GKE on VMware バージョン以降に含まれています。

    • Anthos 1.3.3
    • Anthos 1.4.1

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8559 を軽減します。攻撃者は既存の不正使用ノードに加えて、この攻撃を効果的に悪用するためにクラスタ、ノード、ワークロードについて最初に情報を取得する必要があるため、GKE の脆弱性の重大度評価は「中」です。この脆弱性だけで、不正使用されたノードが攻撃者に提供されることはありません。

    GKE クラスタ

    説明 重大度

    先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

    攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

    必要な対策

    GKE on AWS 一般提供(1.4.1、2020 年 7 月末から入手可能)以降には、この脆弱性に対するパッチが含まれています。以前のバージョンを使用している場合は、anthos-gke コマンドライン ツールの新しいバージョンをダウンロードして、管理クラスタとユーザー クラスタを再作成します。

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8559 を軽減します。攻撃者は既存の不正使用ノードに加えて、この攻撃を効果的に悪用するためにクラスタ、ノード、ワークロードについて最初に情報を取得する必要があるため、GKE の脆弱性の重大度評価は「中」です。この脆弱性だけで、不正使用されたノードが攻撃者に提供されることはありません。

    GCP-2020-007

    公開日: 2020 年 6 月 1 日
    参考情報: CVE-2020-8555

    GKE

    説明 重大度

    最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。 コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。 ノードのアップグレードは不要です。

    必要な対策

    ほとんどのお客様は、以後の対応は必要ありません。大多数のクラスタは、すでにパッチ適用済みバージョンを実行しています。 次の GKE バージョン以降には、この脆弱性の修正が含まれています。
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    リリース チャンネルを使用するクラスタは、すでに脆弱性が緩和されたバージョンのコントロール プレーン上にあります。

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8555 を軽減します。この脆弱性はコントロール プレーンのさまざまな強化対策によって悪用が困難であったため、GKE に対する脆弱性の重大度評価は「中」です。

    攻撃者が特定の組み込み Volume タイプ(GlusterFS、Quobyte、StorageFS、ScaleIO)で Pod を作成する権限や、StorageClass を作成する権限を持つ場合、マスターのホスト ネットワークから攻撃者が制御するリクエスト本文を使用せずに kube-controller-managerGET リクエストや POST リクエストを発行させる可能性があります。これらのボリューム タイプは GKE ではほとんど使用されないため、新たに使用された場合は、それが攻撃の検出シグナルとなります。

    GET/POST の結果が攻撃者に返す手段(ログを通じてなど)と組み合わせられると、機密情報の漏洩につながる可能性があります。このような漏洩の可能性を排除するために、対象となるストレージ ドライバを更新しました。

    GKE クラスタ

    説明 重大度

    最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。 以下で説明するように、コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

    必要な対策

    次の GKE on VMware バージョン以降には、この脆弱性に対する修正が含まれています。

    • Anthos 1.3.0

    以前のバージョンを使用している場合は、修正が含まれているバージョンに既存のクラスタをアップグレードしてください。

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8555 を軽減します。この脆弱性はコントロール プレーンのさまざまな強化対策によって悪用が困難であったため、GKE に対する脆弱性の重大度評価は「中」です。

    攻撃者が特定の組み込み Volume タイプ(GlusterFS、Quobyte、StorageFS、ScaleIO)で Pod を作成する権限や、StorageClass を作成する権限を持つ場合、マスターのホスト ネットワークから攻撃者が制御するリクエスト本文を使用せずに kube-controller-managerGET リクエストや POST リクエストを発行させる可能性があります。これらのボリューム タイプは GKE ではほとんど使用されないため、新たに使用された場合は、それが攻撃の検出シグナルとなります。

    GET/POST の結果が攻撃者に返す手段(ログを通じてなど)と組み合わせられると、機密情報の漏洩につながる可能性があります。このような漏洩の可能性を排除するために、対象となるストレージ ドライバを更新しました。

    GKE クラスタ

    説明 重大度

    最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。 以下で説明するように、コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

    必要な対策

    GKE on AWS v0.2.0 以降には、この脆弱性に対するパッチが含まれています。以前のバージョンを使用している場合は、anthos-gke コマンドライン ツールの新しいバージョンをダウンロードして、管理クラスタとユーザー クラスタを再作成します。

    このパッチで対処される脆弱性

    これらのパッチは、脆弱性 CVE-2020-8555 を軽減します。この脆弱性はコントロール プレーンのさまざまな強化対策によって悪用が困難であったため、GKE に対する脆弱性の重大度評価は「中」です。

    攻撃者が特定の組み込み Volume タイプ(GlusterFS、Quobyte、StorageFS、ScaleIO)で Pod を作成する権限や、StorageClass を作成する権限を持つ場合、マスターのホスト ネットワークから攻撃者が制御するリクエスト本文を使用せずに kube-controller-managerGET リクエストや POST リクエストを発行させる可能性があります。これらのボリューム タイプは GKE ではほとんど使用されないため、新たに使用された場合は、それが攻撃の検出シグナルとなります。

    GET/POST の結果が攻撃者に返す手段(ログを通じてなど)と組み合わせられると、機密情報の漏洩につながる可能性があります。このような漏洩の可能性を排除するために、対象となるストレージ ドライバを更新しました。

    GCP-2020-006

    公開日: 2020 年 6 月 1 日
    参考情報: Kubernetes issue 91507

    GKE

    説明 重大度

    Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性はすべての Google Kubernetes Engine(GKE)ノードに影響を及ぼすため、下記のとおり最新のパッチ バージョンにアップグレードすることをおすすめします。

    必要な対策

    この脆弱性を緩和するために、コントロール プレーンをアップグレードしてください。アップグレード後、ノードは下記のパッチ適用済みバージョンのいずれかになります。リリース チャンネル上のクラスタは、コントロール プレーンとノードの両方ですでにパッチ適用済みバージョンを実行しています。
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能や他の強力な機能は、PodSecurityPolicy または Anthos Policy Controller を使用してデフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • または、Pod 仕様を更新します。
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    Kubernetes の問題 91507 に記載された脆弱性。この脆弱性では、CAP_NET_RAW 機能(デフォルトのコンテナ機能セットに含まれています)がノード上で IPv6 スタックを不正に構成して、攻撃者によって制御されるコンテナにノード トラフィックをリダイレクトします。これにより、攻撃者はノードからのトラフィックまたはノードを宛先とするトラフィックの傍受や変更ができてしまいます。kubelet と API サーバーの間の相互 TLS / SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取られることも変更されることもありません。

    GKE クラスタ

    説明 重大度

    Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性はすべての Google Kubernetes Engine(GKE)ノードに影響するため、最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。

    必要な対策

    GKE on VMware のこの脆弱性を軽減するには、クラスタを次のバージョン以降にアップグレードします。
    • Anthos 1.3.2

    通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能やその他の強力な機能は、Anthos Policy Controller を使用するか、Pod 仕様を更新して、デフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • または、Pod 仕様を更新します。
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    Kubernetes の問題 91507 に記載された脆弱性。この脆弱性では、CAP_NET_RAW 機能(デフォルトのコンテナ機能セットに含まれています)がノード上で IPv6 スタックを不正に構成して、攻撃者によって制御されるコンテナにノード トラフィックをリダイレクトします。これにより、攻撃者はノードからのトラフィックまたはノードを宛先とするトラフィックの傍受や変更ができてしまいます。kubelet と API サーバーの間の相互 TLS / SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取られることも変更されることもありません。

    GKE クラスタ

    説明 重大度

    Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性はすべての Google Kubernetes Engine(GKE)ノードに影響するため、最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。

    必要な対策

    次のバージョン以降の anthos-gke コマンドライン ツールをダウンロードし、管理クラスタとユーザー クラスタを再作成します。

    • aws-0.2.1-gke.7

    通常、CAP_NET_RAW を必要とするコンテナはほとんどありません。この機能や他の強力な機能は、Anthos Policy Controller を使用するか、Pod 仕様を更新して、デフォルトでブロックする必要があります。

    以下のいずれかの方法で、コンテナから CAP_NET_RAW 機能を削除します。

    • 次のように、PodSecurityPolicy を使用してこれらの機能をブロックします。
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • または、Policy Controller か Gatekeeper をこちらの制約テンプレートで使用して、それを適用します。たとえば、次のようにします。
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • または、Pod 仕様を更新します。
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    Kubernetes の問題 91507 に記載された脆弱性。この脆弱性では、CAP_NET_RAW 機能(デフォルトのコンテナ機能セットに含まれています)がノード上で IPv6 スタックを不正に構成して、攻撃者によって制御されるコンテナにノード トラフィックをリダイレクトします。これにより、攻撃者はノードからのトラフィックまたはノードを宛先とするトラフィックの傍受や変更ができてしまいます。kubelet と API サーバーの間の相互 TLS / SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取られることも変更されることもありません。

    GCP-2020-005

    公開日: 2020 年 5 月 7 日
    更新日: 2020 年 5 月 7 日
    参考情報: CVE-2020-8835

    GKE

    説明 重大度

    先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードのルート権限を奪ってしまうおそれがあります。

    この脆弱性は Google Kubernetes Engine(GKE)1.16 または 1.17 を実行する GKE Ubuntu ノードに影響するため、できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。詳細については、以下をご覧ください。

    Container-Optimized OS を実行しているノードは影響を受けません。GKE on VMware 上で実行しているノードは影響を受けません。

    必要な対策

    ほとんどのお客様は、以後の対応は必要ありません。GKE バージョン 1.16 または 1.17 の Ubuntu を実行しているノードのみが影響を受けます。

    ご使用のノードをアップグレードするには、まずマスターを最新バージョンにアップグレードする必要があります。このパッチは Kubernetes 1.16.8-gke.12、1.17.4-gke.10、およびそれ以降のリリースで提供されます。パッチが公開されたかどうかについては、リリースノートで定期的にご確認ください。

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    CVE-2020-8835 は Linux カーネル バージョン 5.5.0 以降の脆弱性であり、悪意のあるコンテナが(exec 形式での最小限のユーザー インタラクションで)カーネルメモリの読み取りと書き込みにより、ホストノードでルート権限のコードを実行できるというものです。この脆弱性の重大度評価は高です。

    GCP-2020-004

    公開日: 2020 年 5 月 7 日
    更新日: 2020 年 5 月 7 日
    参考情報: CVE-2019-11254

    GKE クラスタ

    説明 重大度

    先ごろ、Kubernetes で CVE-2019-11254 に記載された脆弱性が発見されました。これは、POST リクエストの発行を許可された任意のユーザーが Kubernetes API サーバーへのリモート サービス拒否攻撃を実行できるというものです。Kubernetes 製品セキュリティ委員会(PSC)から発表されたこの脆弱性に関する追加情報は、こちらからご覧いただけます。

    Kubernetes API サーバーにネットワーク アクセスできるクライアントを制限することで、この脆弱性を緩和できます。

    必要な対策

    この脆弱性に対する修正を含むパッチ バージョンが公開されたら、直ちにクラスタをアップグレードすることをおすすめします。

    修正を含むパッチ バージョンは次のとおりです。

    • Kubernetes バージョン 1.15.7-gke.32 を実行する Anthos 1.3.0

    このパッチで対処される脆弱性

    このパッチは次のサービス拒否攻撃(DoS)の脆弱性を修正します。

    CVE-2019-11254

    GCP-2020-003

    公開日: 2020 年 3 月 31 日
    更新日: 2020 年 3 月 31 日
    参考情報: CVE-2019-11254

    GKE

    説明 重大度

    先ごろ、Kubernetes で CVE-2019-11254 に記載された脆弱性が発見されました。これは、POST リクエストの発行を許可された任意のユーザーが Kubernetes API サーバーへのリモート サービス拒否攻撃を実行できるというものです。Kubernetes 製品セキュリティ委員会(PSC)から発表されたこの脆弱性に関する追加情報は、こちらからご覧いただけます。

    この脆弱性は、マスター承認済みネットワークパブリック エンドポイントを持たない限定公開クラスタを使用した GKE クラスタでは緩和されます。

    必要な対策

    この脆弱性の修正を含むパッチ バージョンにクラスタをアップグレードすることをおすすめします。

    修正を含むパッチ バージョンは次のとおりです。

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    このパッチで対処される脆弱性

    このパッチは次のサービス拒否攻撃(DoS)の脆弱性を修正します。

    CVE-2019-11254

    GCP-2020-002

    公開日: 2020 年 3 月 23 日
    更新日: 2020 年 3 月 23 日
    参考情報: CVE-2020-8551CVE-2020-8552

    GKE

    説明 重大度

    Kubernetes はサービス拒否攻撃の脆弱性を 2 件公表しました。そのうちの 1 件は API サーバーに影響するもので、もう 1 件は Kubelet に影響するものです。詳細については Kubernetes の問題 8937789378 をご覧ください。

    必要な対策

    クラスタの内部ネットワーク内で信頼されていないユーザーによるリクエスト送信が許可されていない限り、すべての GKE ユーザーは CVE-2020-8551 から保護されます。マスター承認済みネットワークを使うことで、CVE-2020-8552 の影響をさらに緩和できます。

    パッチのリリース予定

    CVE-2020-8551 のパッチにはノードのアップグレードが必要です。この脆弱性の緩和策が組み込まれるパッチ バージョンは次のとおりです。

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    CVE-2020-8552 用のパッチではマスターのアップグレードが必要です。この脆弱性の緩和策が組み込まれるパッチ バージョンは次のとおりです。

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*

    GCP-january_21_2020

    公開日: 2020 年 1 月 21 日
    更新日: 2020 年 1 月 24 日
    参考情報: CVE-2019-11254

    GKE

    説明 重大度

    2020 年 1 月 24 日更新: パッチ適用済みバージョンを現在作成中で、2020 年 1 月 25 日までに完成する予定です。


    Microsoft が Windows Crypto API とその楕円曲線署名の検証に脆弱性があることを公表しました。詳細については、Microsoft の開示情報をご覧ください。

    必要な対策

    ほとんどのお客様は、以後の対応は必要ありません。Windows Server を実行しているノードのみが影響を受けます。

    Windows Server ノードを使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。

    コンテナを更新するには:

    Microsoft の最新のベースコンテナ イメージを使用してコンテナを再ビルドします。その際、LastUpdated Time が 2020/1/14 またはそれ以降である servercore または nanoserver タグを選択してください。

    ノードを更新するには:

    パッチ適用済みバージョンを現在作成中で、2020 年 1 月 24 日までに完成する予定です。

    パッチが完成してからパッチ適用済みの GKE バージョンにノードをアップグレードするか、任意の時点で Windows Update を使用して最新の Windows パッチを手動で適用してください。

    この脆弱性の緩和策が組み込まれるパッチ バージョンは次のとおりです。

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    このパッチで対処される脆弱性

    このパッチで緩和される脆弱性は以下のとおりです。

    CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの TLS 接続上で秘密情報を復号することも可能です。

    NVD ベーススコア: 8.1(高)

    アーカイブ済みのセキュリティに関する情報

    2020 年以前のセキュリティに関する情報については、セキュリティに関する情報のアーカイブをご覧ください。