Auf dieser Seite werden alle Sicherheitsbulletins für die folgenden Produkte beschrieben:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (nur Software) auf VMware
- GKE on AWS
- GKE on Azure
- Google Distributed Cloud (nur Software) auf Bare Metal
Sicherheitslücken werden häufig geheim gehalten, bis die betroffenen Parteien die Möglichkeit hatten, sie zu beheben. In diesen Fällen wird in den Versionshinweisen von "Security Updates" (Sicherheitsupdates) gesprochen, bis die Geheimhaltungsverpflichtung aufgehoben wurde. Sobald dies geschehen ist, werden die Hinweise mit Informationen über die durch den Patch behobene Sicherheitslücke aktualisiert.
Wenn GKE ein Sicherheitsbulletin ausgibt, das sich direkt auf Ihre Clusterkonfiguration oder -version bezieht, senden wir Ihnen möglicherweise eine SecurityBulletinEvent
-Clusterbenachrichtigung mit Informationen über die Sicherheitslücke und Maßnahmen, die Sie gegebenenfalls ergreifen können. Informationen zum Einrichten von Clusterbenachrichtigungen finden Sie unter Clusterbenachrichtigungen.
Weitere Informationen dazu, wie Google Sicherheitslücken und Patches für GKE und GKE Enterprise verwaltet, finden Sie unter Sicherheitspatches.
GKE- und GKE Enterprise-Plattformen verwenden keine Komponenten wie ingress-nginx
und die CRI-O-Containerlaufzeit und sind von Sicherheitslücken in diesen Komponenten nicht betroffen. Lesen Sie die Sicherheitsupdates und Patchpatches für diese Komponenten an der Quelle, wenn Sie Komponenten aus anderen Quellen installieren.
Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren.
GCP-2024-040
Veröffentlicht: 01.07.2024
Zuletzt aktualisiert: 03.07.2024
Referenz:
CVE-2024-6387
Update vom 03.07.2024 : Patchversionen für GKE wurden hinzugefügt.
Aktualisierungen vom 02.07.2024:
- Es wurde klargestellt, dass Autopilot-Cluster betroffen sind und eine Nutzeraktion erfordern.
- Es wurden Folgenabschätzungen und Minderungsschritte für GDC (VMware), GKE on AWS und GKE on Azure hinzugefügt.
- Das GDC-Sicherheitsbulletin (Bare Metal) wurde korrigiert, um zu verdeutlichen, dass GDC (Bare Metal) nicht direkt betroffen ist und dass Kunden bei Betriebssystemanbietern nach Patches suchen sollten.
GKE
Aktualisiert : 03.07.2024
Beschreibung | Schweregrad |
---|---|
Update vom 03.07.2024 : Ein beschleunigtes Rollout läuft. Neue Patchversionen werden voraussichtlich bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) in allen Zonen verfügbar sein. Wenn Sie benachrichtigt werden möchten, sobald ein Patch für Ihren spezifischen Cluster verfügbar ist, verwenden Sie Clusterbenachrichtigungen. Aktualisierung vom 02.07.2024 : Diese Sicherheitslücke betrifft sowohl Cluster im Autopilot-Modus als auch im Standardmodus. In den folgenden Abschnitten sind die Modi aufgeführt, für die dieser Abschnitt gilt. Bei OpenSSH wurde kürzlich eine Sicherheitslücke (CVE-2024-6387) für die Remote-Codeausführung festgestellt. Die Sicherheitslücke nutzt eine Race-Bedingung, die dazu verwendet werden könnte, Zugriff auf eine Remote-Shell zu erhalten, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten können. Zum Zeitpunkt der Veröffentlichung wurde die Angriffsfläche als schwierig eingestuft und dauert pro angegriffener Maschine mehrere Stunden. Uns sind keinerlei Ausnutzungsversuche bekannt. Alle unterstützten Versionen von Container-Optimized OS- und Ubuntu-Images in GKE führen Versionen von OpenSSH aus, die anfällig für dieses Problem sind. GKE-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die über das Internet zugänglich sind, sollten zur Entschärfung mit der höchsten Priorität behandelt werden. Die GKE-Steuerungsebene ist für dieses Problem nicht anfällig. Wie gehe ich am besten vor?Update vom 03.07.2024: Patchversionen für GKEEin beschleunigtes Rollout läuft. Neue Patchversionen werden voraussichtlich bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) in allen Zonen verfügbar sein. Cluster und Knoten, für die das automatische Upgrade aktiviert ist, werden im Laufe der Woche aktualisiert. Aufgrund des Schweregrads der Sicherheitslücke empfehlen wir jedoch, ein manuelles Upgrade wie unten beschrieben durchzuführen, um Patches so schnell wie möglich zu erhalten. Führen Sie für Autopilot- und Standardcluster ein Upgrade Ihrer Steuerungsebene auf eine Patchversion durch. Führen Sie außerdem für Cluster im Standardmodus ein Upgrade Ihrer Knotenpools auf eine Patchversion durch. Autopilot-Cluster werden so bald wie möglich mit dem Upgrade Ihrer Knoten auf die Version der Steuerungsebene beginnen. Für jede unterstützte Version sind Patchversionen von GKE verfügbar, um die für die Anwendung des Patches erforderlichen Änderungen zu minimieren. Die Versionsnummer jeder neuen Version ist eine Erhöhung der letzten Ziffer der Versionsnummer der entsprechenden vorhandenen Version. Wenn Sie beispielsweise 1.27.14-gke.1100000 verwenden, führen Sie ein Upgrade auf 1.27.14-gke.1100002 durch, um die Korrektur mit der geringstmöglichen Änderung zu erhalten. Die folgenden Patchversionen von GKE sind verfügbar:
Führen Sie den folgenden Befehl aus, um zu prüfen, ob ein Patch in Ihrer Clusterzone oder -region verfügbar ist: gcloud container get-server-config --location=
Ersetzen Sie Aktualisierung vom 02.07.2024 : Sowohl Cluster im Autopilot-Modus als auch im Standardmodus sollten so schnell wie möglich aktualisiert werden, sobald Patchversionen verfügbar sind. Eine GKE-Patchversion, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wenn du eine Pub/Sub-Benachrichtigung erhalten möchtest, sobald ein Patch für deinen Kanal verfügbar ist, aktiviere Clusterbenachrichtigungen. Wir empfehlen, die folgenden Schritte auszuführen, um die Gefährdung Ihres Clusters zu prüfen, und die beschriebenen Abhilfemaßnahmen bei Bedarf anzuwenden. Bestimmen, ob Ihre Knoten öffentliche IP-Adressen habenAktualisierung vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot- als auch für Standardcluster. Wenn ein Cluster mit
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" Wenn der Rückgabewert „True“ ist, sind alle Knoten private Knoten für diesen Cluster und die Sicherheitslücke wurde behoben. Wenn der Wert leer oder falsch ist, wenden Sie eine der Abhilfemaßnahmen in den folgenden Abschnitten an. Verwenden Sie diese Cloud Asset Inventory-Abfrage im Projekt oder in der Organisation, um alle Cluster zu finden, die ursprünglich mit öffentlichen Knoten erstellt wurden: SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false SSH für die Clusterknoten nicht zulassenAktualisierung vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot- als auch für Standardcluster. Das Standardnetzwerk enthält vorab die Firewallregel
Wenn Sie weitere Firewallregeln erstellt haben, die SSH über TCP an Port 22 zulassen, deaktivieren Sie diese oder beschränken Sie die Quell-IP-Adressen auf vertrauenswürdige Netzwerke. Achten Sie darauf, dass Sie über das Internet keine SSH-Verbindung zu den Clusterknoten mehr herstellen können. Diese Firewallkonfiguration verringert die Sicherheitslücke. Öffentliche Knotenpools in private umwandelnAktualisierung vom 02.07.2024: Bei Autopilot-Clustern, die ursprünglich als öffentliche Cluster erstellt wurden, können Sie Ihre Arbeitslasten mithilfe von nodeSelectors auf privaten Knoten platzieren. Autopilot-Knoten, die Systemarbeitslasten auf Clustern ausführen, die ursprünglich als öffentliche Cluster erstellt wurden, sind jedoch weiterhin öffentliche Knoten und sollten durch die im vorherigen Abschnitt beschriebenen Firewalländerungen geschützt werden. Zum bestmöglichen Schutz von Clustern, die ursprünglich mit öffentlichen Knoten erstellt wurden, empfehlen wir zuerst, SSH über die Firewall wie bereits beschrieben zuzulassen. Wenn Sie SSH nicht über die Firewallregeln deaktivieren können, können Sie öffentliche Knotenpools in GKE-Standardclustern in private Knotenpools umwandeln. Folgen Sie dazu dieser Anleitung zum Isolieren von Knotenpools. SSHD-Konfiguration ändernAktualisierung vom 02.07.2024: Dieser Abschnitt gilt nur für Standardcluster. Autopilot-Arbeitslasten dürfen die Knotenkonfiguration nicht ändern. Wenn keine dieser Abhilfemaßnahmen angewendet werden kann, haben wir auch ein Daemonset veröffentlicht, das SSHD |
Kritisch |
GDC (VMware)
Aktualisiert : 02.07.2024
Beschreibung | Schweregrad |
---|---|
Update vom 02.07.2024 : Alle unterstützten Versionen von Container-Optimized OS- und Ubuntu-Images auf GDC-Software für VMware führen OpenSSH-Versionen aus, die anfällig für dieses Problem sind. GDC-Software für VMware-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die über das Internet zugänglich sind, sollte zur Entschärfung mit der höchsten Priorität behandelt werden. Bei OpenSSH wurde kürzlich eine Sicherheitslücke (CVE-2024-6387) für die Remote-Codeausführung festgestellt. Die Sicherheitslücke nutzt eine Race-Bedingung, die dazu verwendet werden könnte, Zugriff auf eine Remote-Shell zu erhalten, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten können. Zum Zeitpunkt der Veröffentlichung wurde die Angriffsfläche als schwierig eingestuft und dauert pro angegriffener Maschine mehrere Stunden. Uns sind keinerlei Ausnutzungsversuche bekannt. Wie gehe ich am besten vor?Update vom 02.07.2024 : Eine GDC-Patchwork-Software für die VMware-Version, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen, die folgenden Schutzmaßnahmen nach Bedarf anzuwenden. SSH für die Clusterknoten nicht zulassenSie können die Einrichtung Ihres Infrastrukturnetzwerks ändern, um SSH-Verbindungen von nicht vertrauenswürdigen Quellen wie dem öffentlichen Internet zu unterbinden. SSHD-Konfiguration ändernWenn Sie die vorherige Entschärfung nicht anwenden können, haben wir ein DaemonSet veröffentlicht, das sshd |
Kritisch |
GKE on AWS
Aktualisiert : 02.07.2024
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 02.07.2024 : Alle unterstützten Versionen von Ubuntu-Images auf GKE on AWS führen Versionen von OpenSSH aus, die anfällig für dieses Problem sind. GKE on AWS-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die über das Internet zugänglich sind, sollten zur Entschärfung mit der höchsten Priorität behandelt werden. Bei OpenSSH wurde kürzlich eine Sicherheitslücke (CVE-2024-6387) für die Remote-Codeausführung festgestellt. Die Sicherheitslücke nutzt eine Race-Bedingung, die dazu verwendet werden könnte, Zugriff auf eine Remote-Shell zu erhalten, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten können. Zum Zeitpunkt der Veröffentlichung wurde die Angriffsfläche als schwierig eingestuft und dauert pro angegriffener Maschine mehrere Stunden. Uns sind keinerlei Ausnutzungsversuche bekannt. Wie gehe ich am besten vor?Update vom 02.07.2024 : Eine Patchversion von GKE on AWS, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen Ihnen, die folgenden Schritte auszuführen, um die Gefährdung Ihres Clusters zu prüfen und die beschriebenen Abhilfemaßnahmen bei Bedarf anzuwenden. Bestimmen, ob Ihre Knoten öffentliche IP-Adressen habenGKE on AWS stellt keine Maschinen mit öffentlichen IP-Adressen oder mit Firewallregeln bereit, die Traffic an Port 22 standardmäßig zulassen. Maschinen können jedoch je nach Subnetzkonfiguration während der Bereitstellung automatisch eine öffentliche IP-Adresse erhalten. Um zu prüfen, ob Knoten öffentliche IP-Adressen bereitgestellt werden, sehen Sie sich die Konfiguration des Subnetzes an, das Ihrer AWS-Knotenpoolressource zugeordnet ist. SSH für die Clusterknoten nicht zulassenObwohl GKE on AWS standardmäßig keinen Traffic über Port 22 auf jedem Knoten zulässt, können Kunden zusätzliche Sicherheitsgruppen an Knotenpools anhängen und so eingehenden SSH-Traffic ermöglichen. Wir empfehlen, die entsprechenden Regeln aus den bereitgestellten Sicherheitsgruppen zu entfernen oder den Zugriffsbereich herunterzustufen. Öffentliche Knotenpools in private umwandelnZum bestmöglichen Schutz von Clustern mit öffentlichen Knoten empfehlen wir zuerst, SSH über Ihre Sicherheitsgruppe zu unterbinden, wie im vorherigen Abschnitt beschrieben. Wenn Sie SSH nicht über die Regeln der Sicherheitsgruppe zulassen können, können Sie öffentliche Knotenpools in private Pools umwandeln. Dazu deaktivieren Sie die Option zur automatischen Zuweisung öffentlicher IP-Adressen zu Maschinen in einem Subnetz und stellen den Knotenpool noch einmal bereit. |
Kritisch |
GKE on Azure
Aktualisiert : 02.07.2024
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 02.07.2024 : Alle unterstützten Versionen von Ubuntu-Images in GKE on Azure führen Versionen von OpenSSH aus, die anfällig für dieses Problem sind. GKE on Azure-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die über das Internet zugänglich sind, sollten zur Entschärfung mit der höchsten Priorität behandelt werden. Bei OpenSSH wurde kürzlich eine Sicherheitslücke (CVE-2024-6387) für die Remote-Codeausführung festgestellt. Die Sicherheitslücke nutzt eine Race-Bedingung, die dazu verwendet werden könnte, Zugriff auf eine Remote-Shell zu erhalten, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten können. Zum Zeitpunkt der Veröffentlichung wurde die Angriffsfläche als schwierig eingestuft und dauert pro angegriffener Maschine mehrere Stunden. Uns sind keinerlei Ausnutzungsversuche bekannt. Wie gehe ich am besten vor?Update vom 02.07.2024 : Eine Patchversion von GKE on Azure, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen Ihnen, die folgenden Schritte auszuführen, um die Gefährdung Ihres Clusters zu prüfen und die beschriebenen Abhilfemaßnahmen bei Bedarf anzuwenden. Bestimmen, ob Ihre Knoten öffentliche IP-Adressen habenGKE on Azure stellt keine Maschinen mit öffentlichen IP-Adressen oder mit Firewallregeln bereit, die Traffic an Port 22 standardmäßig zulassen. Führen Sie den folgenden Befehl aus, um in der Azure-Konfiguration zu prüfen, ob in Ihrem GKE on Azure-Cluster öffentliche IP-Adressen konfiguriert sind: az network public-ip list -g
SSH für die Clusterknoten nicht zulassenObwohl GKE on Azure keinen Traffic über Port 22 auf jedem Knoten standardmäßig zulässt, können Kunden NetworkSecurityGroup-Regeln auf Knotenpools aktualisieren, um eingehenden SSH-Traffic aus dem öffentlichen Internet zu ermöglichen. Wir empfehlen dringend, die mit Ihren Kubernetes-Clustern verknüpften Netzwerksicherheitsgruppen (NSGs) zu prüfen. Wenn eine NSG-Regel vorhanden ist, die uneingeschränkten eingehenden Traffic an Port 22 (SSH) zulässt, führen Sie einen der folgenden Schritte aus:
Öffentliche Knotenpools in private umwandelnZum bestmöglichen Schutz von Clustern mit öffentlichen Knoten empfehlen wir zuerst, SSH über Ihre Sicherheitsgruppe zu unterbinden, wie im vorherigen Abschnitt beschrieben. Wenn Sie SSH nicht über die Regeln der Sicherheitsgruppe zulassen können, können Sie öffentliche Knotenpools in private Pools umwandeln. Dazu entfernen Sie die mit den VMs verknüpften öffentlichen IP-Adressen. Informationen zum Entfernen einer öffentlichen IP-Adresse von einer VM und zum Ersetzen durch eine Konfiguration für eine private IP-Adresse finden Sie unter Öffentliche IP-Adresse von einer Azure-VM trennen. Auswirkungen: Alle bestehenden Verbindungen, die die öffentliche IP-Adresse verwenden, werden unterbrochen. Sorgen Sie dafür, dass alternative Zugriffsmethoden wie VPN oder Azure-Bastion verfügbar sind. |
Kritisch |
GDC (Bare Metal)
Aktualisiert : 02.07.2024
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 2. Juli 2024 : In der ursprünglichen Version dieses Bulletins für GDC-Software für Bare Metal wurde fälschlicherweise angegeben, dass Patchversionen in Bearbeitung waren. Die GDC-Software für Bare Metal ist nicht direkt betroffen, da sie den SSH-Daemon oder die Konfiguration des Betriebssystems nicht verwaltet. Für Patchversionen ist daher der Anbieter des Betriebssystems verantwortlich, wie im Abschnitt Was soll ich tun? beschrieben. Bei OpenSSH wurde kürzlich eine Sicherheitslücke (CVE-2024-6387) für die Remote-Codeausführung festgestellt. Die Sicherheitslücke nutzt eine Race-Bedingung, die dazu verwendet werden könnte, Zugriff auf eine Remote-Shell zu erhalten, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten können. Zum Zeitpunkt der Veröffentlichung wurde die Angriffsfläche als schwierig eingestuft und dauert pro angegriffener Maschine mehrere Stunden. Uns sind keinerlei Ausnutzungsversuche bekannt. Wie gehe ich am besten vor?Update vom 02.07.2024 : Wenden Sie sich an Ihren Betriebssystemanbieter, um einen Patch für die Betriebssysteme zu erhalten, die mit der GDC-Software für Bare Metal verwendet werden. Achten Sie darauf, dass öffentlich erreichbare Maschinen keine SSH-Verbindungen aus dem Internet zulassen, solange der Patch für den Betriebssystemanbieter nicht angewendet wurde. Wenn dies nicht möglich ist, können Sie grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 Beachten Sie, dass diese Konfigurationsänderung das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit legitimem SSH-Zugriff verursachen kann. Ursprünglicher Text vom 01.07.2024 (Korrektur siehe vorherige Aktualisierung vom 02.07.2024): |
Kritisch |
GCP-2024-039
Veröffentlicht: 28.06.2024
Referenz:
CVE-2024-26923
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GDC (VMware)
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GDC (Bare Metal)
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-038
Veröffentlicht: 26.06.2024
Referenz:
CVE-2024-26924
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GDC (VMware)
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GDC (Bare Metal)
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GDC-Software für Bare Metal ist nicht betroffen, da in ihrer Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-036
Veröffentlicht: 18.06.2024
Referenz:
CVE-2024-26584
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-035
Veröffentlicht: 12.06.2024
Referenz:
CVE-2024-26584
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen, für die jedoch keine Patchversion verfügbar ist. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-034
Veröffentlicht: 11.06.2024
Referenz:
CVE-2024-26583
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-033
Veröffentlicht: 10.06.2024
Referenz:
CVE-2022-23222
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-031
Veröffentlicht: 24.05.2024
Referenznummer: CVE-2024-4323
GKE
Beschreibung | Schweregrad |
---|---|
In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3. GKE verwendet keine angreifbare Version von Fluent Bit und ist nicht betroffen. Wie gehe ich am besten vor?GKE ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun. |
Ohne |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3. GKE on VMware verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen. Wie gehe ich am besten vor?GKE on VMware ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun. |
Ohne |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3. GKE on AWS verwendet keine angreifbare Version von Fluent Bit und ist nicht betroffen. Wie gehe ich am besten vor?GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3. GKE on Azure verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen. Wie gehe ich am besten vor?GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3. GKE on Bare Metal verwendet keine angreifbare Version von Fluent Bit und ist nicht betroffen. Wie gehe ich am besten vor?GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun. |
Ohne |
GCP-2024-030
Veröffentlicht: 15.05.2024
Referenz:
CVE-2023-52620
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-029
Veröffentlicht: 14.05.2024
Referenz:
CVE-2024-26642
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-028
Veröffentlicht: 13.05.2024
Zuletzt aktualisiert: 22.05.2024
Referenz:
CVE-2024-26581
Update vom 22.05.2024 : Patchversionen für Ubuntu-Knoten wurden hinzugefügt.
GKE
Aktualisiert : 22.05.2024
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 22. Mai 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-027
Veröffentlicht: 08.05.2024
Zuletzt aktualisiert: 09.05.2024, 15.05.2024
Referenz:
CVE-2024-26808
Update vom 15.05.2024 : Patchversionen für GKE-Ubuntu-Knotenpools wurden hinzugefügt.
Aktualisierung vom 09.05.2024 : Der Schweregrad wurde von „Mittel“ auf „Hoch“ korrigiert und es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
Aktualisiert : 09.05.2024, 15.05.2024
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Aktualisierung vom 09.05.2024: Schweregrad von „Mittel“ zu „Hoch“ korrigiert.
Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 15.05.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-026
Veröffentlicht: 07.05.2024
Zuletzt aktualisiert: 09.05.2024
Referenz:
CVE-2024-26643
Aktualisierung vom 09.05.2024 : Schweregrad von „Mittel“ zu „Hoch“ korrigiert.
GKE
Aktualisiert : 09.05.2024
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 09.05.2024:Der Schweregrad wurde von „Mittel“ zu „Hoch“ geändert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-024
Veröffentlicht: 25.04.2024
Referenz:
CVE-2024-26585
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-022
Veröffentlicht: 03.04.2024
Zuletzt aktualisiert: 24.04.2024
Referenznummer: CVE-2023-45288
Update vom 24.04.2024 : Patchversionen für GKE wurden hinzugefügt.
GKE
Aktualisiert : 24.04.2024
Beschreibung | Schweregrad |
---|---|
Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen. GKE Autopilot- und Standardcluster sind betroffen. Wie gehe ich am besten vor?Aktualisierung vom 24. April 2024:Patchversionen für GKE wurden hinzugefügt. Die folgenden GKE-Versionen enthalten die Golang-Sicherheitspatches, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GKE-Cluster auf die folgenden Versionen oder höher durch:
Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald GKE-Versionen mit diesen Patches verfügbar sind. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Konfigurieren Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene, um das Risiko zu minimieren:Sie können Ihre Cluster vor dieser Angriffsklasse abwehren, indem Sie autorisierte Netzwerke konfigurieren. Folgen Sie der Anleitung zum Aktivieren autorisierter Netzwerke für einen vorhandenen Cluster. Weitere Informationen dazu, wie autorisierte Netzwerke den Zugriff auf die Steuerungsebene steuern, finden Sie unter Funktionsweise autorisierter Netzwerke. Den standardmäßigen autorisierten Netzwerkzugriff finden Sie in der Tabelle im Abschnitt Zugriff auf Endpunkte der Steuerungsebene. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. Wie gehe ich am besten vor?Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on VMware-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. Wie gehe ich am besten vor?Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on AWS-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. Wie gehe ich am besten vor?Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald GKE on Azure-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. Wie gehe ich am besten vor?Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald Versionen für GKE on Bare Metal verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen. |
Hoch |
GCP-2024-018
Veröffentlicht: 12.03.2024
Zuletzt aktualisiert: 06.05.2024
Referenz:
CVE-2024-1085
Update vom 06.05.2024 : Patchversionen für GKE-Ubuntu-Knotenpools wurden hinzugefügt und ein zusätzliches horizontales Linienelement aus dem Update vom 04.04.2024 entfernt.
Update vom 04.04.2024 : Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS.
GKE
Aktualisiert : 06.05.2024
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 06.05.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch.
Update vom 04.04.2024: Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS. Die GKE-Mindestversionen mit den zuvor aufgeführten Fehlerkorrekturen für Container-Optimized OS waren falsch. Die folgenden GKE-Versionen werden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf die folgenden Versionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-017
Veröffentlicht: 06.03.2024
Referenz:
CVE-2023-3611
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-014
Veröffentlicht: 26.02.2024
Referenz:
CVE-2023-3776
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-013
Veröffentlicht: 23.02.2024
Referenz:
CVE-2023-3610
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-012
Veröffentlicht: 20.02.2024
Referenz:
CVE-2024-0193
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-011
Veröffentlicht: 15.02.2024
Referenz:
CVE-2023-6932
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-010
Veröffentlicht: 14.02.2024
Zuletzt aktualisiert: 17.04.2024
Referenz:
CVE-2023-6931
Update vom 17.04.2024 : Patchversionen für GKE on VMware wurden hinzugefügt.
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Aktualisiert : 17.04.2024
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Update vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt. Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:
|
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-008
Veröffentlicht: 12.02.2024
Referenznummer: CVE-2023-5528
GKE
Beschreibung | Schweregrad |
---|---|
CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist. GKE-Standardcluster, auf denen Windows Server-Knoten ausgeführt werden und die ein integriertes Speicher-Plug-in verwenden, können betroffen sein. GKE Autopilot-Cluster und GKE-Knotenpools, die GKE Sandbox verwenden, sind nicht betroffen, da sie keine Windows Server-Knoten unterstützen. Wie gehe ich am besten vor?Prüfen Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden: kubectl get nodes -l kubernetes.io/os=windows Prüfen Sie Audit-Logs auf Ausnutzungsnachweise. Kubernetes-Audit-Logs können geprüft werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wurde. Ereignisse zur Erstellung von nichtflüchtigen Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf Ausnutzung. Aktualisieren Sie den GKE-Cluster und die Knotenpools auf eine Patchversion. Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir, den Cluster und die Windows Server-Knotenpools manuell auf eine der folgenden GKE-Versionen oder höher zu aktualisieren:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist. GKE on VMware-Cluster, auf denen Windows Server-Knoten ausgeführt werden und die ein integriertes Speicher-Plug-in verwenden, können betroffen sein. Wie gehe ich am besten vor?Prüfen Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden: kubectl get nodes -l kubernetes.io/os=windows Prüfen Sie Audit-Logs auf Ausnutzungsnachweise. Kubernetes-Audit-Logs können geprüft werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wurde. Ereignisse zur Erstellung von nichtflüchtigen Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf Ausnutzung. Aktualisieren Sie Ihre GKE on VMware-Cluster und -Knotenpools auf eine Patchversion. Die folgenden Versionen von GKE on VMware wurden aktualisiert, um diese Sicherheitslücke zu beheben. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir, den Cluster und die Windows Server-Knotenpools manuell auf eine der folgenden GKE on VMware-Versionen oder höher zu aktualisieren:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist. GKE on AWS-Cluster sind nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist. GKE on Azure-Cluster sind nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist. GKE on Bare Metal-Cluster sind nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen |
Ohne |
GCP-2024-005
Veröffentlicht: 31.01.2024
Zuletzt aktualisiert: 06.05.2024
Referenznummer: CVE-2024-21626
Update vom 06.05.2024: Patchversionen für GKE on AWS und GKE on Azure wurden hinzugefügt.
Update vom 02.04.2024: Patchversionen für GKE on Bare Metal hinzugefügt
Update 06.03.2024: Patchversionen für GKE on VMware hinzugefügt
Update vom 28.02.2024: Patchversionen für Ubuntu hinzugefügt
Update 2024-02-15: Es wurde klargestellt, dass Ubuntu 1.2.2.2.
Update vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt
Update vom 06.02.2024: Patchversionen für Container-Optimized OS wurden hinzugefügt.
GKE
Aktualisiert : 06.03.2024
Beschreibung | Schweregrad |
---|---|
Eine Sicherheitslücke, CVE-2024-21626, wurde in GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 28.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Update vom 15.02.2024: Aufgrund eines Problems können die folgenden Ubuntu-Patchversionen vom Update vom 14.02.2024 dazu führen, dass Ihre Knoten in einen fehlerhaften Zustand versetzt werden. Führen Sie kein Upgrade auf die folgenden Patchversionen durch. Dieses Bulletin wird aktualisiert, sobald für 1.25 und 1.26 neuere Patchversionen für Ubuntu verfügbar sind.
Wenn Sie bereits ein Upgrade auf eine dieser Patchversionen durchgeführt haben, führen Sie für den Knotenpool ein manuelles Downgrade auf eine frühere Version in der Release-Version aus. Update vom 14.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:
Update vom 06.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie automatische Knotenupgrades aktiviert haben, die Cluster- und Container-Optimized OS-Knotenpools manuell auf eine der folgenden GKE-Versionen oder höher zu aktualisieren:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. Wir aktualisieren GKE mit Code, um diese Sicherheitslücke zu beheben. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on VMware
Aktualisiert : 06.03.2024
Beschreibung | Schweregrad |
---|---|
Eine Sicherheitslücke, CVE-2024-21626, wurde in Wie gehe ich am besten vor?Update vom 06.03.2024: Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:
Patchversionen und eine Bewertung des Schweregrads für GKE on VMware sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on AWS
Aktualisiert : 06.05.2024
Beschreibung | Schweregrad |
---|---|
Eine Sicherheitslücke, CVE-2024-21626, wurde in Wie gehe ich am besten vor?Update vom 06.05.2024: Die folgenden Versionen von GKE on AWS wurden mit Patches für CVE-2024-21626 aktualisiert:
Patchversionen und eine Bewertung des Schweregrads für GKE on AWS sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on Azure
Aktualisiert : 06.05.2024
Beschreibung | Schweregrad |
---|---|
Eine Sicherheitslücke, CVE-2024-21626, wurde in Wie gehe ich am besten vor?Update vom 06.05.2024: Die folgenden Versionen von GKE on Azure wurden mit Patches für CVE-2024-21626 aktualisiert:
Patchversionen und eine Bewertung des Schweregrads für GKE on Azure sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on Bare Metal
Aktualisiert : 02.04.2024
Beschreibung | Schweregrad |
---|---|
In Wie gehe ich am besten vor?Aktualisierung vom 02.04.2024: Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:
Patchversionen und eine Bewertung des Schweregrads für GKE on Bare Metal sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GCP-2024-004
Veröffentlicht: 24.01.2024
Zuletzt aktualisiert: 07.02.2024
Referenz:
CVE-2023-6817
Update vom 07.02.2024 : Patchversionen für Ubuntu wurden hinzugefügt.
GKE
Aktualisiert : 07.02.2024
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 07.02.2024:Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2024-003
Veröffentlicht: 19.01.2024
Zuletzt aktualisiert: 26.01.2024
Update vom 26.01.2024: Es wurden die Anzahl der betroffenen Cluster und die Maßnahmen, die wir ergriffen haben, um die Auswirkungen gemindert, klarer formuliert.
GKE
Aktualisiert : 26.01.2024
Beschreibung | Schweregrad |
---|---|
Update vom 26.01.2024: Sicherheitsstudien, die eine kleine Anzahl von GKE-Clustern mit einer vom Kunden erstellten Fehlkonfiguration unter Einbeziehung der Gruppe Es wurden mehrere Cluster identifiziert, in denen Nutzer der Gruppe Kürzlich hat ein Sicherheitsforscher über unser Programm zur Meldung von Sicherheitslücken Berichte zu Clustern mit RBAC-Fehlkonfigurationen gemeldet. Mit dem Authentifizierungsansatz von Google soll die Authentifizierung bei Google Cloud und GKE so einfach und sicher wie möglich gestaltet werden, ohne dass komplexe Konfigurationsschritte hinzugefügt werden müssen.
Bei der Authentifizierung wird nur angegeben, wer der Nutzer ist. Bei der Autorisierung wird der Zugriff bestimmt. Daher funktioniert die Gruppe Vor diesem Hintergrund haben wir verschiedene Schritte unternommen, um das Risiko von Autorisierungsfehlern bei in Kubernetes integrierten Nutzern und Gruppen wie Um Nutzer vor versehentlichen Autorisierungsfehlern bei diesen Systemnutzern/-gruppen zu schützen, haben wir Folgendes getan:
Cluster, für die Einschränkungen für autorisierte Netzwerke gelten, haben eine erste Schutzschicht: Sie können nicht direkt aus dem Internet angegriffen werden. Dennoch empfehlen wir, diese Bindungen zu entfernen, um einen tieferen Schutz zu gewährleisten und Fehler in der Netzwerksteuerung zu vermeiden. Wir untersuchen derzeit Möglichkeiten, wie wir die RBAC-Fehlkonfiguration von Nutzern mit diesen Systemnutzern/-gruppen durch Prävention und Erkennung weiter vorbeugen können. Wie gehe ich am besten vor?Um neue Bindungen von Vorhandene Bindungen sollten gemäß dieser Anleitung überprüft werden. |
Mittel |
GKE on VMware
Derzeit sind keine Updates verfügbar.
GKE on AWS
Derzeit sind keine Updates verfügbar.
GKE on Azure
Derzeit sind keine Updates verfügbar.
GKE on Bare Metal
Derzeit sind keine Updates verfügbar.
GCP-2024-002
Veröffentlicht: 17.01.2024
Zuletzt aktualisiert: 20.02.2024
Referenz:
CVE-2023-6111
Update vom 20.02.2024 : Patchversionen für GKE on VMware wurden hinzugefügt.
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Aktualisiert : 20.02.2024
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.
Wie gehe ich am besten vor?Update vom 20.02.2024:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch: 1.28.100 |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-051
Veröffentlicht: 28.12.2023
Referenz:
CVE-2023-3609
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-050
Veröffentlicht: 27.12.2023
Referenz:
CVE-2023-3389
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-049
Veröffentlicht: 20.12.2023
Referenz:
CVE-2023-3090
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das seccomp-Profil Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-048
Veröffentlicht: 15.12.2023
Zuletzt aktualisiert: 21.12.2023
Referenz:
CVE-2023-3390
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
Aktualisiert : 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-047
Veröffentlicht: 14.12.2023
GKE
Beschreibung | Schweregrad |
---|---|
Ein Angreifer, der den Fluent-Bit-Logging-Container manipuliert hat, könnte diesen Zugriff mit den für Cloud Service Mesh erforderlichen Berechtigungen kombinieren (auf Clustern, in denen er aktiviert ist), um die Berechtigungen im Cluster auszuweiten. Die Probleme mit Fluent Bit und Cloud Service Mesh wurden behoben und Korrekturen sind jetzt verfügbar. Diese Sicherheitslücken können in GKE nicht allein ausgenutzt werden und erfordern eine erste Manipulation. Uns sind keine Fälle bekannt, in denen diese Schwachstellen ausgenutzt werden. Diese Probleme wurden über unser Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken) gemeldet. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken in Fluent Bit und für Nutzer des verwalteten Cloud Service Mesh zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:
Eine neue Funktion der Release-Versionen ermöglicht es dir, einen Patch anzuwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre spezifische Release-Version wird. Wenn der Cluster das clusterinterne Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben? Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer den Fluent Bit-Logging-Container manipuliert. Uns sind keine Sicherheitslücken in Fluent Bit bekannt, die diese Voraussetzung für eine Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken zur Härtung gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern. GKE verwendet Fluent Bit, um Logs für Arbeitslasten zu verarbeiten, die in Clustern ausgeführt werden. Fluent Bit in GKE wurde auch zum Erfassen von Logs für Cloud Run-Arbeitslasten konfiguriert. Die zum Erfassen dieser Logs konfigurierte Volume-Bereitstellung gewährte Fluent Bit Zugriff auf Kubernetes-Dienstkonto-Tokens für andere Pods, die auf dem Knoten ausgeführt wurden. Das Forschungsteam hat diesen Zugriff genutzt, um ein Dienstkonto-Token mit umfassenden Berechtigungen für Cluster zu ermitteln, für die Cloud Service Mesh aktiviert ist. Cloud Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit Clusteradministratorberechtigungen. Wir haben den Zugriff von Fluent Bit auf die Dienstkontotokens entfernt und die Funktionalität des Cloud Service Mesh so gestaltet, dass nicht erforderliche Berechtigungen entfernt werden. |
Mittel |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Nur GKE on VMware-Cluster, die Cloud Service Mesh verwenden, sind betroffen. Wie gehe ich am besten vor?Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben?Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig ausbricht oder Root auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken zur Härtung gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern. Cloud Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit den Berechtigungen „cluster-admin“. Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen. |
Mittel |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Nur GKE on AWS-Cluster, die Cloud Service Mesh verwenden, sind betroffen. Wie gehe ich am besten vor?Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben?Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig ausbricht oder Root auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken zur Härtung gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern. Cloud Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit den Berechtigungen „cluster-admin“. Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen. |
Mittel |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Nur GKE in Azure-Cluster, die Cloud Service Mesh verwenden, sind betroffen. Wie gehe ich am besten vor?Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben?Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig ausbricht oder Root auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken gepatcht, um eine mögliche vollständige Angriffskette in Zukunft zu verhindern. Cloud Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit den Berechtigungen „cluster-admin“. Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen. |
Mittel |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Nur GKE on Bare Metal-Cluster mit Cloud Service Mesh sind betroffen. Wie gehe ich am besten vor?Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):
Welche Sicherheitslücken werden mit diesem Patch behoben?Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig ausbricht oder Root auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken zur Härtung gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern. Anthos Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit den Berechtigungen „cluster-admin“. Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen. |
Mittel |
GCP-2023-046
Veröffentlicht: 22.11.2023
Zuletzt aktualisiert: 04.03.2024
Referenz:
CVE-2023-5717
Update vom 04.03.2024 : GKE-Versionen für GKE on VMware wurden hinzugefügt.
Update vom 22.01.2024 : Ubuntu-Patchversionen wurden hinzugefügt.
GKE
Aktualisiert : 22.01.2024
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 22.01.2024: Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Aktualisiert : 29.02.2024
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Update vom 04.03.2024: Die folgenden Versionen von GKE on VMware werden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:
|
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-045
Veröffentlicht: 20.11.2023
Zuletzt aktualisiert: 21.12.2023
Referenznummer:
CVE-2023-5197
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
Aktualisiert : 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:
Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-042
Veröffentlicht: 13.11.2023
Zuletzt aktualisiert: 15.11.2023
Referenz:
CVE-2023-4147
Update vom 15.11.2023 : Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 15.11.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster sind nicht betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 15.11.2023: Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Wenn Sie beispielsweise die GKE-Version 1.27 verwenden, sollten Sie ein Upgrade auf die entsprechende Patchversion durchführen. Wenn Sie jedoch die GKE-Version 1.24 verwenden, müssen Sie kein Upgrade auf eine Patchversion durchführen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:
Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-041
Veröffentlicht: 08.11.2023
Zuletzt aktualisiert: 21.11.2023, 05.12.2023, 21.12.2023
Referenz:
CVE-2023-4004
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Update vom 05.12.2023 : Zusätzliche GKE-Versionen für Knotenpools mit Container-Optimized OS wurden hinzugefügt.
Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 05.12.2023, 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 05.12.2023: Einige GKE-Versionen fehlten. Im Folgenden finden Sie eine aktualisierte Liste der GKE-Versionen, auf die Sie Ihr Container-Optimized OS aktualisieren können:
Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:
|
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-040
Veröffentlicht: 06.11.2023
Zuletzt aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-4921
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:
|
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-039
Veröffentlicht: 06.11.2023
Zuletzt aktualisiert: 21.11.2023, 16.11.2023
Referenz:
CVE-2023-4622
Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
Update vom 16.11.2023 : Die mit diesem Sicherheitsbulletin verbundene Sicherheitslücke CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt.
GKE
Aktualisiert : 21.11.2023, 16.11.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:
|
Hoch |
GKE on VMware
Aktualisiert : 16.11.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Aktualisiert : 16.11.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Aktualisiert : 16.11.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Aktualisiert : 16.11.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-038
Veröffentlicht: 06.11.2023
Zuletzt aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-4623
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:
|
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-037
Veröffentlicht: 06.11.2023
Zuletzt aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-4015
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:
|
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Ausstehend |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2023-035
Veröffentlicht: 26.10.2023
Aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:
|
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Hoch |
GCP-2023-033
Veröffentlicht: 24.10.2023
Zuletzt aktualisiert: 21.11.2023, 21.12.2023
Referenz:
CVE-2023-3777
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration und GKE Sandbox-Arbeitslasten nicht betroffen sind.
Update vom 21.11.2023 : Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.
GKE
Aktualisiert : 21.11.2023, 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind betroffen. Wie gehe ich am besten vor?Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:
Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:
|
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor? |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
GCP-2023-030
Veröffentlicht: 10.10.2023
Zuletzt aktualisiert: 20.03.2024
Referenznummer: CVE-2023-44487CVE-2023-39325
Update vom 20.03.2024: Patchversionen für GKE on AWS und GKE on Azure wurden hinzugefügt.
Update vom 14.02.2024: Patchversionen für GKE on VMware
Update vom 09.11.2023: CVE-2023-39325 wurde hinzugefügt. Die GKE-Versionen wurden mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert.
GKE
Aktualisiert : 09.11.2023
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen. Wie gehe ich am besten vor?Update vom 09.11.2023: Wir haben neue Versionen von GKE veröffentlicht, die die Go- und Kubernetes-Sicherheitspatches enthalten, auf die Sie Ihre Cluster jetzt aktualisieren können. In den kommenden Wochen werden wir weitere Änderungen an der GKE-Steuerungsebene veröffentlichen, um dieses Problem weiter zu minimieren. Die folgenden GKE-Versionen wurden mit Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert:
Wir empfehlen Ihnen, so schnell wie möglich die folgende Maßnahme anzuwenden und ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist. Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, aktualisieren wir dieses Bulletin mit einer Anleitung zur Aktualisierung Ihrer Steuerungsebene. Die Patches werden auch im GKE-Sicherheitsstatus sichtbar, wenn sie für Ihren Cluster verfügbar sind. Wenn du eine Pub/Sub-Benachrichtigung erhalten möchtest, sobald ein Patch für deinen Kanal verfügbar ist, aktiviere Clusterbenachrichtigungen. Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Probleme durch das Konfigurieren autorisierter Netzwerke für den Zugriff auf die Steuerungsebene vermeiden: Sie können autorisierte Netzwerke für vorhandene Cluster hinzufügen. Weitere Informationen finden Sie unter Autorisiertes Netzwerk für vorhandene Cluster. Zusätzlich zu den autorisierten Netzwerken, die Sie hinzufügen, gibt es voreingestellte IP-Adressen, die auf die GKE-Steuerungsebene zugreifen können. Weitere Informationen zu diesen Adressen finden Sie unter Zugriff auf Endpunkte der Steuerungsebene. Im Folgenden wird die Clusterisolation zusammengefasst:
Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der GKE-Steuerungsebene ausführen. |
Hoch |
GKE on VMware
Aktualisiert : 14.02.2024
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on VMware erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind. Wie gehe ich am besten vor?Update vom 14.02.2024 : Die folgenden Versionen von GKE on VMware werden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Patchversionen oder höher durch:
Wenn Sie Ihre GKE on VMware-Kubernetes-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist. Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on AWS erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind. Wie gehe ich am besten vor?Aktualisierung vom 20.03.2024: Die folgenden GKE on AWS-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:
Wenn Sie GKE on AWS für direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke konfiguriert haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist. Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on Azure erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind. Wie gehe ich am besten vor?Aktualisierung vom 20.03.2024: Die folgenden GKE on Azure-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:
Wenn Sie Ihre GKE on Azure-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist. Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen. |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. Anthos on Bare Metal erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind. Wie gehe ich am besten vor?Wenn Sie Ihre Kubernetes-Cluster für Anthos on Bare Metal so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Weitere Informationen finden Sie in der Übersicht zur Sicherheit von GKE on Bare Metal. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist. Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten. Welche Sicherheitslücken werden mit diesem Patch behoben?Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen. |
Hoch |
GCP-2023-026
Veröffentlicht: 06.09.2023
Referenz: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. GKE-Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Upgrade von Knoten aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Die GKE-Steuerungsebene wird in der Woche vom 04.09.2023 aktualisiert, um den csi-Proxy auf Version 1.1.3 zu aktualisieren. Wenn Sie Ihre Knoten vor dem Update der Steuerungsebene aktualisieren, müssen Sie Ihre Knoten nach dem Update noch einmal aktualisieren, um den neuen Proxy nutzen zu können. Sie können die Knoten noch einmal aktualisieren, auch ohne die Knotenversion zu ändern. Führen Sie dazu den Befehl Eine neue Funktion der Release-Versionen ermöglicht es dir, einen Patch anzuwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre spezifische Release-Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet fehlt die Eingabebereinigung und übergibt diesen erstellten Pfadstring als Argument an den Befehls-Executor, wo er Teile des Strings als separate Befehle ausführen würde. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt. Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Berechtigung, Code mit derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, und zwar privilegierte Berechtigungen. Wie bei CVE-2023-3893 können Nutzer, die Pods auf Windows-Knoten erstellen können, auf denen kubernetes-csi-proxy ausgeführt wird, ebenfalls an Administratorberechtigungen für diese Knoten eskalieren, wenn keine Eingabebereinigung erfolgt. Mit Kubernetes-Audit-Logs kann ermittelt werden, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zur Pod-Erstellung mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starker Hinweis auf Ausnutzung. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet fehlt die Eingabebereinigung und übergibt diesen erstellten Pfadstring als Argument an den Befehls-Executor, wo er Teile des Strings als separate Befehle ausführen würde. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt. Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Berechtigung, Code mit derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, und zwar privilegierte Berechtigungen. Wie bei CVE-2023-3893 können Nutzer, die Pods auf Windows-Knoten erstellen können, auf denen kubernetes-csi-proxy ausgeführt wird, ebenfalls an Administratorberechtigungen für diese Knoten eskalieren, wenn keine Eingabebereinigung erfolgt. Mit Kubernetes-Audit-Logs kann ermittelt werden, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zur Pod-Erstellung mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starker Hinweis auf Ausnutzung. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Wie gehe ich am besten vor?GKE on AWS ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Wie gehe ich am besten vor?GKE on Azure ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Wie gehe ich am besten vor?GKE on Bare Metal ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun. |
Ohne |
GCP-2023-018
Veröffentlicht: 27.06.2023
Referenznummer: CVE-2023-2235
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. Betroffen sind GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden. GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images bzw. Versionen vor 1.25 ausführen oder GKE Sandbox verwenden. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden behoben?Bei CVE-2023-2235 überprüfte die perf_group_associate-Funktion das gleichgeordnete Element "attach_state" des Ereignisses nicht vor dem Aufrufen von add_event_to_groups(), aber remove_on_exec ermöglichte es, list_del_event() aufzurufen, bevor die Gruppe getrennt wurde. Dies ermöglichte die Verwendung eines mängelnden Zeigers, der die Sicherheitslücke use-after-free verursacht hat. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden behoben?Bei CVE-2023-2235 überprüfte die perf_group_associate-Funktion das gleichgeordnete Element "attach_state" des Ereignisses nicht vor dem Aufrufen von add_event_to_groups(), aber remove_on_exec ermöglichte es, list_del_event() aufzurufen, bevor die Gruppe getrennt wurde. Dies ermöglichte die Verwendung eines mängelnden Zeigers, der die Sicherheitslücke use-after-free verursacht hat. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2023-2235 überprüfte die perf_group_associate-Funktion das gleichgeordnete Element "attach_state" des Ereignisses nicht vor dem Aufrufen von add_event_to_groups(), aber remove_on_exec ermöglichte es, list_del_event() aufzurufen, bevor die Gruppe getrennt wurde. Dies ermöglichte die Verwendung eines mängelnden Zeigers, der die Sicherheitslücke use-after-free verursacht hat. |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2023-2235 überprüfte die perf_group_associate-Funktion das gleichgeordnete Element "attach_state" des Ereignisses nicht vor dem Aufrufen von add_event_to_groups(), aber remove_on_exec ermöglichte es, list_del_event() aufzurufen, bevor die Gruppe getrennt wurde. Dies ermöglichte die Verwendung eines mängelnden Zeigers, der die Sicherheitslücke use-after-free verursacht hat. |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Ohne |
GCP-2023-017
Veröffentlicht: 26.06.2023
Zuletzt aktualisiert: 11.07.2023
Referenznummer: CVE-2023-31436
Update vom 11.07.2023 : Neue GKE-Versionen wurden aktualisiert, um die neuesten Ubuntu-Versionen aufzunehmen, die CVE-2023-31436 patchen.
GKE
Aktualisiert : 11.07.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 11. Juli 2023:Ubuntu-Patchversionen sind verfügbar. Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-31436 patchen:
Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden behoben?Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den externen Speicherzugriff festgestellt, indem ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden behoben?Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den externen Speicherzugriff festgestellt, indem ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den externen Speicherzugriff festgestellt, indem ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten. |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den externen Speicherzugriff festgestellt, indem ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten. |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Ohne |
GCP-2023-016
Veröffentlicht: 26.06.2023
Referenz:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
CVE-2023-27491CVE-2023-27487
GKE
Beschreibung | Schweregrad |
---|---|
In Envoy wurden mehrere Sicherheitslücken entdeckt, die in Cloud Service Mesh (ASM) verwendet werden. Diese wurden separat als GCP-2023-002 gemeldet. GKE wird nicht mit ASM ausgeliefert und ist nicht von diesen Sicherheitslücken betroffen. Wie gehe ich am besten vor?Wenn Sie ASM für Ihre GKE-Cluster separat installiert haben, lesen Sie GCP-2023-002. |
Ohne |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27496) in Envoy für den Absturz von Envoy in einem VMware-Dienst durchgeführt, der einen bösartigen Absturz in einem VMware-Dienst verursacht. Diese wurden separat als GCP-2023-002 gemeldet. Wir möchten jedoch dafür sorgen, dass GKE Enterprise-Kunden ihre Versionen aktualisieren, die ASM enthalten. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt. CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn ext_authz verwendet wird. CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mithilfe von Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats. CVE-2023-27492: Angreifer können große Anfragetexte für Routen senden, für die der Lua-Filter aktiviert ist, und Abstürze auslösen. CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.
CVE-2023-27487: Der Header |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
In Envoy Cloud Service Mesh wurde eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) entdeckt. Diese wurden separat als GCP-2023-002 gemeldet. GKE on AWS wird nicht mit ASM ausgeliefert und ist nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
In Envoy Cloud Service Mesh wurde eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) entdeckt. Diese wurden separat als GCP-2023-002 gemeldet. GKE on Azure wird nicht mit ASM ausgeliefert und ist nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Es wurden mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27496, CVE-2023-27487) in einem bösartigen Metal-Dienst in Envoy oder einem Metal-Absturz in einem bösartigen Metal-Dienst in einem bösartigen Metal-Dienst in GKE oder in einem bösartigen Metal-Dienst in einem bösartigen Metal-Dienst in GKE oder in einem bösartigen Metal-Dienst in einem bösartigen Metal-Service in einem Diese wurden separat als GCP-2023-002 gemeldet. Wir möchten jedoch dafür sorgen, dass GKE Enterprise-Kunden ihre Versionen aktualisieren, die ASM enthalten. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on Bare Metal-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt. CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn ext_authz verwendet wird. CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mithilfe von Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats. CVE-2023-27492: Angreifer können große Anfragetexte für Routen senden, für die der Lua-Filter aktiviert ist, und Abstürze auslösen. CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.
CVE-2023-27487: Der Header |
Hoch |
GCP-2023-015
Veröffentlicht: 20.06.2023
Referenznummer: CVE-2023-0468
GKE
Beschreibung | Schweregrad |
---|---|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden behoben?In CVE-2023-0468 wurde in io_uring/poll.c in io_poll_check_events in der Unterkomponente io_uring im Linux-Kernel ein „Use-After-Free“-Fehler gefunden. Dieser Fehler kann zu einer Dereferenzierung des NULL-Zeigers und zu einem Systemabsturz führen, der zu einem Denial of Service führt. |
Mittel |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann. GKE on VMware verwendet Version 5.4 des Linux-Kernels und ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?
|
Ohne |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann. GKE on AWS ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?
|
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann. GKE on Azure ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?
|
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen. Wie gehe ich am besten vor?
|
Ohne |
GCP-2023-014
Veröffentlicht: 15.06.2023
Zuletzt aktualisiert: 11.08.2023
Referenznummer: CVE-2023-2727, CVE-2023-2728
Update vom 11.08.2023 : Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und GKE on Bare Metal wurden hinzugefügt.
GKE
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden. GKE verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen. Alle GKE-Versionen sind potenziell anfällig für CVE-2023-2728.Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird. Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GKE on VMware
Aktualisiert : 11.08.2023
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das Zulassungs-Plug-in „ServiceAccount“ (CVE-2023-2728) verwenden. Anthos auf VMware verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen. Alle Versionen von Anthos on VMware sind potenziell anfällig für CVE-2023-2728. Wie gehe ich am besten vor?Update vom 11.08.2023:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durch:
Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GKE on AWS
Aktualisiert : 11.08.2023
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das Zulassungs-Plug-in „ServiceAccount“ (CVE-2023-2728) verwenden. Wie gehe ich am besten vor?Update vom 11.08.2023:Die folgende Version von GKE on AWS wurde mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on AWS-Version durch:
Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GKE on Azure
Aktualisiert : 11.08.2023
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das Zulassungs-Plug-in „ServiceAccount“ (CVE-2023-2728) verwenden. Wie gehe ich am besten vor?Update vom 11.08.2023:Die folgende Version von GKE on Azure wurde mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on Azure-Version durch:
Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GKE on Bare Metal
Aktualisiert : 11.08.2023
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das Zulassungs-Plug-in „ServiceAccount“ (CVE-2023-2728) verwenden. Wie gehe ich am besten vor?Update vom 11.08.2023:Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal durch:
Welche Sicherheitslücken werden behoben?Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen. In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:
|
Mittel |
GCP-2023-009
Veröffentlicht: 06.06.2023
Referenznummer: CVE-2023-2878
GKE
Beschreibung | Schweregrad |
---|---|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?GKE ist zwar nicht betroffen, aber wenn Sie die Komponente "secrets-store-csi-driver" installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren. Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird. |
Ohne |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE on VMware ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?GKE on VMware ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren. Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird. |
Ohne |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE on AWS ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?GKE on AWS ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren. Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE on Azure ist von dieser CVE nicht betroffen Wie gehe ich am besten vor?GKE on Azure ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren. Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. GKE on Bare Metal ist von dieser CVE nicht betroffen. Wie gehe ich am besten vor?GKE on Bare Metal ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren Welche Sicherheitslücken werden mit diesem Patch behoben?Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird. |
Ohne |
GCP-2023-008
Veröffentlicht: 05.06.2023
Referenznummer: CVE-2023-1872
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. GKE Standard- und Autopilot-Cluster sind betroffen. Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben: Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert: Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. GKE on Bare Metal ist von dieser CVE nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GCP-2023-005
Veröffentlicht: 18.05.2023
Zuletzt aktualisiert: 06.06.2023
Referenznummer: CVE-2023-1281, CVE-2023-1829
Update vom 06.06.2023 : Neue GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 patchen.
GKE
Aktualisiert : 06.06.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. GKE Standard-Cluster sind betroffen. GKE Autopilot-Cluster und Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 06.06.2023:Ubuntu-Patchversionen sind verfügbar. Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 patchen:
Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können. Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion tcindex_delete nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann. In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können. Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion tcindex_delete nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann. In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können. Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion tcindex_delete nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann. In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. Wie gehe ich am besten vor?Welche Sicherheitslücken werden mit diesem Patch behoben?Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können. Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion tcindex_delete nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann. In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. GKE on Bare Metal ist von diesem CVE nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GCP-2023-003
Veröffentlicht: 11.04.2023
Zuletzt aktualisiert: 21.12.2023
Referenznummer: CVE-2023-0240,
CVE-2023-23586
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
Aktualisiert : 21.12.2023
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE-Cluster, einschließlich Autopilot-Cluster, mit COS, die die Linux-Kernel-Version 5.10 bis 5.10.162 verwenden, sind betroffen. GKE-Cluster mit Ubuntu-Images oder GKE Sandbox sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie das automatische Upgrade von Knoten aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit einer kürzlich eingeführten Funktion von Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Sicherheitslücke 1 (CVE-2023-0240): Ein Race-Bedingung in Sicherheitslücke 2 (CVE-2023-23586): Die Verwendung nach der Freischaltung (UAF) in |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE on VMware-Cluster mit COS, die die Linux-Kernel-Version 5.10 bis 5.10.162 verwenden, sind betroffen. GKE Enterprise-Cluster, die Ubuntu-Images verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert:
Welche Sicherheitslücken werden mit diesem Patch behoben?Sicherheitslücke 1 (CVE-2023-0240): Ein Race-Bedingung in Sicherheitslücke 2 (CVE-2023-23586): Die Verwendung nach der Freischaltung (UAF) in |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE on AWS ist von diesen CVEs nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE on Azure ist von diesen CVEs nicht betroffen Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE on Bare Metal ist von diesen CVEs nicht betroffen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GCP-2023-001
Veröffentlicht: 01.03.2023
Zuletzt aktualisiert: 21.12.2023
Referenznummer: CVE-2022-4696
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
GKE
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade Ihrer Cluster und Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit einer kürzlich eingeführten Funktion von Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-4696 wurde ein Fehler wie "Use-After-Free" in io_uring und ioring_op_splice im Linux-Kernel gefunden. Dadurch kann ein lokaler Nutzer eine lokale Rechteausweitung vornehmen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware mit v1.12 und v1.13 ist betroffen. GKE on VMware mit Version 1.14 oder höher ist nicht betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-4696 wurde ein Fehler wie "Use-After-Free" in io_uring und ioring_op_splice im Linux-Kernel gefunden. Dadurch kann ein lokaler Nutzer eine lokale Rechteausweitung vornehmen. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. |
Ohne |
GCP-2022-026
Veröffentlicht: 11.01.2023
Referenznummer: CVE-2022-3786, CVE-2022-3602
GKE
Beschreibung | Schweregrad |
---|---|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können. Obwohl dies in der NVD-Datenbank mit „Hoch“ bewertet wurde, verwenden GKE-Endpunkte BoringSSL oder eine ältere Version von OpenSSL, die nicht betroffen ist. Daher wurde die Bewertung für GKE auf „Medium“ reduziert. Wie gehe ich am besten vor?Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben:
Eine neue Funktion der Release-Versionen ist eine neue Funktion, mit der du einen Patch anwenden kannst, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-3786 und CVE-2022-3602 kann bei der Überprüfung des X.509-Zertifikats ein Pufferüberlauf ausgelöst werden. Dies kann zu einem Absturz und einem Denial of Service führen. Damit diese Sicherheitslücke ausgenutzt werden kann, muss entweder eine Zertifizierungsstelle ein schädliches Zertifikat signiert haben oder eine Anwendung muss die Zertifikatsüberprüfung fortsetzen, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt wurde. |
Mittel |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können. Wie gehe ich am besten vor?GKE on VMware ist von dieser CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können. Wie gehe ich am besten vor?GKE on AWS ist von dieser CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können. Wie gehe ich am besten vor?GKE on Azure ist von dieser CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können. Wie gehe ich am besten vor?GKE on Bare Metal ist von dieser CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GCP-2022-025
Veröffentlicht: 21.12.2022
Zuletzt aktualisiert: 19.01.2023, 21.12.2023
Referenznummer: CVE-2022-2602
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
GKE
Aktualisiert : 19.01.2023
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch. Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn automatische Knotenupgrades aktiviert sind, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit einer kürzlich eingeführten Funktion von Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-2602 kann ein Race-Bedingung zwischen der Anfrageverarbeitung io_uring und der automatischen Speicherbereinigung für Unix-Sockets eine Sicherheitslücke nach der nutzungsfreien Nutzung verursachen. Ein lokaler Angreifer könnte damit einen Denial-of-Service-Angriff auslösen oder möglicherweise beliebigen Code ausführen. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen. Die Versionen 1.11, 1.12 und 1.13 von GKE on VMware sind betroffen. Wie gehe ich am besten vor?Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt:
Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-2602 kann ein Race-Bedingung zwischen der Anfrageverarbeitung io_uring und der automatischen Speicherbereinigung für Unix-Sockets eine Sicherheitslücke nach der nutzungsfreien Nutzung verursachen. Ein lokaler Angreifer könnte damit einen Denial-of-Service-Angriff auslösen oder möglicherweise beliebigen Code ausführen. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen. Wie gehe ich am besten vor?Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-2602 kann ein Race-Bedingung zwischen der Anfrageverarbeitung io_uring und der automatischen Speicherbereinigung für Unix-Sockets eine Sicherheitslücke nach der nutzungsfreien Nutzung verursachen. Ein lokaler Angreifer könnte damit einen Denial-of-Service-Angriff auslösen oder möglicherweise beliebigen Code ausführen. |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-2602 kann ein Race-Bedingung zwischen der Anfrageverarbeitung io_uring und der automatischen Speicherbereinigung für Unix-Sockets eine Sicherheitslücke nach der nutzungsfreien Nutzung verursachen. Ein lokaler Angreifer könnte damit einen Denial-of-Service-Angriff auslösen oder möglicherweise beliebigen Code ausführen. |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen. GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Verteilung kein Betriebssystem gebündelt ist. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GCP-2022-024
Veröffentlicht: 09.11.2022
Zuletzt aktualisiert: 19.01.2023
Referenznummer: CVE-2022-2585, CVE-2022-2588
Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
Update vom 16.12.2022 : Überarbeitete Patchversionen für GKE und GKE on VMware wurden hinzugefügt.
GKE
Aktualisiert : 19.01.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch. Update vom 16.12.2022:Aufgrund einer Regression des Release wurde eine frühere Version des Bulletins überarbeitet. Führen Sie für Ihre Knotenpools ein manuelles Upgrade auf eine der folgenden GKE-Versionen durch:
Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Upgrade von Knoten aktiviert ist, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Updates für GKE v1.22, 1.23 und 1.25 sind demnächst verfügbar. Dieses Sicherheitsbulletin wird aktualisiert, sobald sie verfügbar sind. Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on VMware
Aktualisiert : 16.12.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. Die Versionen 1.13, 1.12 und 1.11 von GKE on VMware sind betroffen. Wie gehe ich am besten vor?Update vom 16.12.2022: Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?
|
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. Die folgenden Versionen von Kubernetes on AWS können betroffen sein:
Kubernetes V1.24 ist nicht betroffen. Wie gehe ich am besten vor?Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden AWS Kubernetes-Versionen:
Welche Sicherheitslücken werden behoben?Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann. Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung. |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. Die folgenden Versionen von Kubernetes in Azure können betroffen sein:
Kubernetes V1.24 ist nicht betroffen. Wie gehe ich am besten vor?Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden Azure Kubernetes-Versionen:
Welche Sicherheitslücken werden behoben?Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann. Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung. |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. |
Ohne |
GCP-2022-023
Veröffentlicht: 04.11.2022
Referenznummer: CVE-2022-39278
GKE
Beschreibung | Schweregrad |
---|---|
In Istio wurde eine Sicherheitslücke namens CVE-2022-39278 entdeckt, die in Cloud Service Mesh verwendet wird und es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen. Wie gehe ich am besten vor?Google Kubernetes Engine (GKE) wird nicht mit Istio ausgeliefert und ist nicht von dieser Sicherheitslücke betroffen. Wenn Sie jedoch Cloud Service Mesh oder Istio separat auf Ihrem GKE-Cluster installiert haben, finden Sie weitere Informationen unter GCP-2022-020, dem Cloud Service Mesh-Sicherheitsbulletin zu diesem CVE. |
Ohne |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
In Istio wurde eine Sicherheitslücke (CVE-2022-39278) gefunden. Istio wird in Cloud Service Mesh in GKE on VMware verwendet und ermöglicht einem böswilligen Angreifer, die Istio-Steuerungsebene zum Absturz zu bringen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?
Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
In Istio wurde eine Sicherheitslücke namens CVE-2022-39278 entdeckt, die in Cloud Service Mesh verwendet wird und es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen. Wie gehe ich am besten vor?GKE on AWS ist von dieser Sicherheitslücke nicht betroffen und es sind keine Maßnahmen erforderlich. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
In Istio wurde eine Sicherheitslücke namens CVE-2022-39278 entdeckt, die in Cloud Service Mesh verwendet wird und es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen. Wie gehe ich am besten vor?GKE on Azure ist von dieser Sicherheitslücke nicht betroffen und es sind keine Maßnahmen erforderlich. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
In Istio wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt. Istio wird in Cloud Service Mesh in GKE on Bare Metal verwendet und ermöglicht einem böswilligen Angreifer, die Istio-Steuerungsebene zum Absturz zu bringen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade von Clustern auf eine der folgenden GKE on Bare Metal-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?
Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene |
Hoch |
GCP-2022-022-updated
Veröffentlicht: 08.12.2022
Referenznummer: CVE-2022-20409
GKE
Aktualisiert : 14.12.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann. Betroffen sind Cluster der Google Kubernetes Engine (GKE) v1.22, v1.23 und v1.24, einschließlich Autopilot-Cluster, die Version 93 und 97 von Container-Optimized OS verwenden. Andere unterstützte GKE-Versionen sind nicht betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Update vom 14.12.2022:Aufgrund einer Regression des Release wurde eine frühere Version des Bulletins überarbeitet. Führen Sie für Ihre Knotenpools ein manuelles Upgrade auf eine der folgenden GKE-Versionen durch:
Die folgenden GKE-Versionen, die die Version 93 und 97 von Container-Optimized OS verwenden, wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn automatische Knotenupgrades aktiviert sind, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit einer kürzlich eingeführten Funktion der Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Mit diesem Feature können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des Subsystems io_uring. Aufgrund einer Sicherheitslücke des Typs „Use-After-Free“ (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder zur Ausführung von beliebigem Code verwenden. |
Hoch |
GKE on VMware
Aktualisiert : 14.12.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann. Wie gehe ich am besten vor?Update vom 14.12.2022: Die folgenden Versionen von GKE on VMware für Ubuntu wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des Subsystems io_uring. Aufgrund einer Sicherheitslücke des Typs „Use-After-Free“ (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder zur Ausführung von beliebigem Code verwenden. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt. Sie ermöglicht einem nicht berechtigten Nutzer die Eskalation zur Systemausführungsberechtigung. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. GKE on AWS verwendet nicht die betroffenen Versionen des Linux-Kernels. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des Subsystems io_uring. Aufgrund einer Sicherheitslücke des Typs „Use-After-Free“ (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder zur Ausführung von beliebigem Code verwenden. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt. Sie ermöglicht einem nicht berechtigten Nutzer die Eskalation zur Systemausführungsberechtigung. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. GKE on Azure verwendet nicht die betroffenen Versionen des Linux-Kernels. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des Subsystems io_uring. Aufgrund einer Sicherheitslücke des Typs „Use-After-Free“ (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder zur Ausführung von beliebigem Code verwenden. |
Ohne |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann. Wie gehe ich am besten vor?
|
Ohne |
GCP-2022-021
Veröffentlicht: 27.10.2022
Zuletzt aktualisiert: 19.01.2023, 21.12.2023
Referenznummer: CVE-2022-3176
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Update vom 19.01.2023 : GKE-Version 1.21.14-gke.14100 ist verfügbar.
Update vom 15.12.2022 : Die Informationen wurden aktualisiert, dass die Einführung von Version 1.21.14-gke.9400 von Google Kubernetes Engine aussteht und diese möglicherweise durch eine höhere Versionsnummer ersetzt wird.
Update vom 21.11.2022 : Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.
GKE
Aktualisiert : 19.01.2023, 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zu einer lokalen Rechteausweitung führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen. Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Betroffen sind Cluster der Google Kubernetes Engine (GKE) v1.21, einschließlich Autopilot-Clustern, die Version 89 von Container-Optimized OS verwenden. Spätere Versionen von GKE sind davon nicht betroffen. Alle Linux-Cluster mit Ubuntu sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch. Update vom 15.12.2022:Die Einführung von Version 1.21.14-gke.9400 steht noch aus und die Version wird möglicherweise durch eine höhere Versionsnummer ersetzt. Wir werden dieses Dokument aktualisieren, sobald die neue Version verfügbar ist. Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn automatische Knotenupgrades aktiviert sind, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit einer kürzlich eingeführten Funktion der Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Mit diesem Feature können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können. |
Hoch |
GKE on VMware
Aktualisiert : 21.11.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zu einer lokalen Rechteausweitung führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen. Wie gehe ich am besten vor?
Aktualisierung vom 21.11.2022: Die folgenden Versionen von GKE on VMware für Ubuntu wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:
Versionen von GKE on VMware, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können. |
Hoch |
GKE on AWS
Aktualisiert : 21.11.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen. Wie gehe ich am besten vor?Aktualisierung vom 21.11.2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen: Aktuelle Generation
Versionen von GKE on AWS, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on AWS zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können. |
Hoch |
GKE on Azure
Aktualisiert : 21.11.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen. Wie gehe ich am besten vor?Aktualisierung vom 21.11.2022: Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Versionen von GKE on Azure, die Ubuntu-Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on Azure zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können. |
Hoch |
GKE on Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zu einer lokalen Rechteausweitung führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen. Wie gehe ich am besten vor?Es sind keine weiteren Schritte erforderlich. GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2022-018
Veröffentlicht: 01.08.2022
Zuletzt aktualisiert: 14.09.2022, 21.12.2023
Referenznummer: CVE-2022-2327
Update vom 21.12.2023 : Es wird klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.
Update vom 14.09.2022 : Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.
GKE
Aktualisiert : 21.12.2023
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Technische DetailsAktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder Betroffen sind GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS (COS) unter Verwendung der Linux Kernel-Version 5.10. GKE-Cluster mit Ubuntu-Images oder GKE Sandbox sind nicht betroffen. Was soll ich tun?Aktualisieren Sie Ihre GKE-Cluster auf eine Version, die den Fehler enthält.
Die Linux-Knoten-Images für COS wurden zusammen mit den GKE-Versionen aktualisiert, die diese COS-Versionen verwenden.
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im Subsystem io_uring, durch die bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Wenn Sie diese Anfragen ohne die richtigen Elementtypen verwenden, kann dies zu einer Rechteausweitung an das Root-Team führen. |
Hoch |
GKE on VMware
Aktualisiert : 14.09.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Betroffen sind Cluster mit einem Container-Optimized OS-Image (COS) mit GKE on VMware-Versionen 1.10, 1.11 und 1.12. Wie gehe ich am besten vor?Update vom 14.09.2022: Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.
Versionen von GKE on VMware, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, durch die bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Werden diese Anfragen ohne die richtigen Elementtypen verwendet, kann dies zu einer Rechteausweitung an das Root-Team führen. |
Hoch |
GKE on AWS
Aktualisiert : 14.09.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Aktualisierung vom 14.09.2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen: Aktuelle Generation
Vorherige Generation
Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on AWS zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, durch die bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Werden diese Anfragen ohne die richtigen Elementtypen verwendet, kann dies zu einer Rechteausweitung an das Root-Team führen. |
Hoch |
GKE on Azure
Aktualisiert : 14.09.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Aktualisierung vom 14. September 2022: Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Versionen von GKE on Azure, die Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on Azure zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, durch die bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Werden diese Anfragen ohne die richtigen Elementtypen verwendet, kann dies zu einer Rechteausweitung an das Root-Team führen. |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist nicht von dieser CVE betroffen, da in der Verteilung kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2022-017
Veröffentlicht: 29.06.2022
Zuletzt aktualisiert: 22.11.2022
Referenz: CVE-2022-1786
Update 2022.11.2022: Aktualisierte Informationen zu Arbeitslasten mit GKE Sandbox.
Update vom 21.07.2022: Informationen, dass COS-Images von GKE on VMware betroffen sind, wurden aktualisiert.
GKE
Aktualisiert : 22.11.2022
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen. Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen. Was soll ich tun?Die Versionen von Linux-Knoten-Images für Container-Optimized OS für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden bevorstehenden GKE-Versionen durchzuführen:
Mit dem neuesten Feature für Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird. Welche Sicherheitslücken werden mit diesem Patch behoben?In Verbindung mit CVE-2022-1786 wurde im io_uring-Subsystem des Linux-Kernels ein Use-After-Free-Problem gefunden. Wenn ein Nutzer einen Ring mit IORING_SETUP_IOPOLL mit mehreren Aufgaben einrichtet, die Einreichungen für den Ring abschließen, kann ein lokaler Nutzer das System abstürzen lassen oder seine Berechtigungen dafür eskalieren. |
Hoch |
GKE on VMware
Aktualisiert: 14. 07. 2022
Beschreibung | Schweregrad |
---|---|
Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Aktualisierung vom 21. Juli 2022: Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt. COS
UbuntuSie müssen nichts unternehmen. GKE on VMware verwendet die betroffenen Versionen des Linux-Kernels nicht. |
Ohne |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Was soll ich tun?Sie müssen nichts unternehmen. GKE on AWS verwendet die betroffenen Versionen des Linux-Kernels nicht. |
Ohne |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Was soll ich tun?Sie müssen nichts unternehmen. GKE on Azure verwendet nicht die betroffenen Versionen des Linux-Kernels. |
Ohne |
Google Distributed Cloud Virtual for Bare Metal
Beschreibung | Schweregrad |
---|---|
Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Was soll ich tun?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist nicht von dieser CVE betroffen, da in der Verteilung kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2022-016
Veröffentlicht: 23.06.2022
Zuletzt aktualisiert: 22.11.2022
Referenz: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
2022-11-22-Aktualisierung zu Autopilot-Clustern hinzugefügt.
Update vom 29.07.2022: Die Versionen für GKE on VMware, GKE on AWS und GKE on Azure wurden aktualisiert.
GKE
Aktualisiert : 22.11.2022
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 22.11.2022: Autopilot-Cluster sind nicht von CVE-2022-29581 betroffen, sind aber anfällig für CVE-2022-29582 und CVE-2022-1116. Aktualisierung vom 29. Juli 2022: Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für Container-Optimized OS und Ubuntu für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke. CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren. |
Hoch |
GKE on VMware
Aktualisiert: 2022-07-29
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 29.07.2022: Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücken behebt.
Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen GKE on VMware v1.9 und höher für Images von Container-Optimized OS und Ubuntu. Wie gehe ich am besten vor?Versionen von GKE on VMware, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke. CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren. |
Hoch |
GKE on AWS
Aktualisiert: 2022-07-29
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 29.07.2022: Aktualisierung: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen: Aktuelle Generation:
Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on AWS. Wie gehe ich am besten vor?Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on AWS zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke. CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren. |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 29.07.2022: Aktualisierung: Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on Azure. Wie gehe ich am besten vor?Versionen von GKE on Azure, die Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on Azure zum Download verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben?Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke. CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren. |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist nicht von dieser Sicherheitslücke betroffen, da in der Distribution kein Betriebssystem gebündelt ist. |
Ohne |
GCP-2022-014
Veröffentlicht: 26.04.2022
Zuletzt aktualisiert: 22.11.2022
Aktualisierung vom 22.11.2022: Informationen zu Arbeitslasten, die in Autopilot-Clustern ausgeführt werden, wurden hinzugefügt.
Aktualisierung vom 12. Mai 2022: Patchversionen für GKE on AWS und GKE on Azure wurden aktualisiert.
Referenz: CVE-2022-1055, CVE-2022-27666
GKE
Aktualisiert : 22.11.2022
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 22.11.2022: GKE Autopilot-Cluster und Arbeitslasten, die in GKE Sandbox ausgeführt werden, sind von diesen Sicherheitslücken nicht betroffen. Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden kommenden GKE-Versionen:
Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
GKE on AWS
Aktualisiert: 12.05.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen: Aktuelle Generation
Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
GKE on Azure
Aktualisiert: 12.05.2022
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:
Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Technische DetailsBei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren. Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da Linux nicht im Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-1055 und CVE-2022-27666 enthalten. Welche Sicherheitslücken werden mit diesem Patch behoben? |
Hoch |
GCP-2022-013
Veröffentlicht: 11.04.2022
Zuletzt aktualisiert: 20.04.2022
Referenz: CVE-2022-23648
Update vom 22.04.2022: Aktualisierte Patchversionen für Google Distributed Cloud Virtual for Bare Metal und GKE on VMware.
GKE
Beschreibung | Schweregrad |
---|---|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (Container-Optimized OS und Ubuntu), die standardmäßig containerd verwenden. Es sind alle GKE-, Autopilot- und GKE Sandbox-Knoten betroffen. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knoten auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird. |
Mittel |
GKE on VMware
Aktualisiert: 22.04.2022
Beschreibung | Schweregrad |
---|---|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE on VMware mit aktiviertem Stackdriver, das containerd verwendet. GKE on VMware-Versionen 1.8, 1.9 und 1.10 sind betroffen Wie gehe ich am besten vor?Aktualisierung vom 22. April 2022 : Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.
Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:
Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden. |
Mittel |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on AWS-Versionen sind betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen. GKE on AWS (aktuelle Generation)
GKE on AWS (vorherige Generation)
Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden. |
Mittel |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on Azure-Versionen sind betroffen. Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten so auszuführen:
Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden. |
Mittel |
Google Distributed Cloud Virtual for Bare Metal
Aktualisiert: 22.04.2022
Beschreibung | Schweregrad |
---|---|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle Google Distributed Cloud Virtual for Bare Metal-Instanzen, die containerd verwenden. Betroffen sind die Versionen 1.8, 1.9 und 1.10 von Google Distributed Cloud Virtual for Bare Metal Wie gehe ich am besten vor?Aktualisierung vom 22. April 2022 : Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal enthalten Code, der diese Sicherheitslücke behebt.
Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal:
Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden. |
Mittel |
GCP-2022-012
Veröffentlicht: 07.04.2022
Zuletzt aktualisiert: 22.11.2022
Referenz: CVE-2022-0847
Update vom 22.11.2022: Aktualisierte Informationen zu Arbeitslasten mit GKE Sandbox.
GKE
Aktualisiert : 22.11.2022
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen. Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft alle GKE-Knotenpoolversionen ab v1.22, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher). GKE-Knotenpools, die das Ubuntu-Betriebssystem verwenden, sind nicht betroffen. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:
Mit der neuesten Funktion Release-Versionen können Sie eine Patchversion anderer Release-Versionen anwenden, ohne sich von einer Version abmelden zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird. Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren. Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Knotenpoolversionen von GKE integriert. |
Hoch |
GKE on VMware
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft GKE on VMware v1.10 für Container-Optimized OS-Images. Derzeit verwendet GKE auf VMware mit Ubuntu die Kernel-Version 5.4 und ist für diesen Angriff nicht anfällig. Wie gehe ich am besten vor?Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf die folgende GKE on VMware-Version:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren. Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Versionen von GKE on VMware integriert. |
Hoch |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft verwaltete Cluster von GKE on AWS v1.21 und Cluster, die auf GKE on AWS (vorherige Generation) v1.19, v1.20 und v1.21 ausgeführt werden, die Ubuntu verwenden. Wie gehe ich am besten vor?Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Für verwaltete GKE on AWS empfehlen wir ein Upgrade Ihrer Nutzercluster und Ihres Knotenpools auf eine der folgenden Versionen:
Für k-lite GKE on AWS empfehlen wir ein Upgrade Ihrer AWSManagementService-, AWSCluster- und AWSNodePool-Objekte auf die folgende Version:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren. |
Hoch |
GKE on Azure
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft verwaltete Cluster von GKE auf Azure v1.21, die Ubuntu verwenden. Wie gehe ich am besten vor?Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Nutzercluster und Ihres Knotenpools auf die folgende Version durchzuführen:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren. |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da Linux nicht im Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-0847 enthalten. |
Hoch |
GCP-2022-011
Veröffentlicht: 22.03.2022
Zuletzt aktualisiert: 11.08.2022
Update vom 11.08.2022 : Weitere Details zu den Auswirkungen der SMT-Fehlkonfiguration wurden hinzugefügt.
GKE
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 11.08.2022: Weitere Informationen zur Konfiguration für gleichzeitiges Multi-Threading (SMT) wurden hinzugefügt. SMT sollte deaktiviert werden, war aber in den aufgeführten Versionen aktiviert. Wenn Sie SMT manuell für einen Knotenpool in einer Sandbox aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert. Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:
Wenn Sie SMT für einen Knotenpool manuell aktiviert haben, wirkt sich dieses Problem nicht auf Ihre in der Sandbox ausgeführten Knoten aus. Wie gehe ich am besten vor?Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen durch:
Welche Sicherheitslücke wird mit diesem Patch behoben?Bei GKE-Sandbox-Knoten ist SMT standardmäßig deaktiviert, um Seitenkanalangriffe abzuschwächen. |
Mittel |
GCP-2022-009
Veröffentlicht: 01.03.2022
Zuletzt aktualisiert: 15.03.2022
GKE
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 15.03.2022: Es wurden Anleitungen zur Härtung von GKE on AWS und GKE on Azure hinzugefügt. Abschnitt zur Persistenz mit Webhooks hinzugefügt. Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden. Nutzer von GKE Standard- und GKE-Clustern können optional eine ähnliche Härtungsrichtlinie wie unten beschrieben anwenden. Technische DetailsHostzugriff mit Richtlinienausnahmen von DrittanbieternDamit Google Cloud die vollständige Verwaltung von Knoten und ein SLA auf Pod-Ebene anbieten kann, beschränkt GKE Autopilot einige privilegierte Kubernetes-Primitive, um Arbeitslasten auf Low-Level-Zugriff auf die Knoten-VM zu beschränken. So legen Sie den Kontext fest: GKE Standard bietet vollständigen Zugriff auf das zugrunde liegende Computing, Autopilot bietet eingeschränkten Zugriff und Cloud Run bietet keinen Zugriff. Autopilot lockert einige dieser Einschränkungen für eine vordefinierte Liste von Drittanbietertools, sodass Kunden diese Tools auf Autopilot ohne Änderung ausführen können. Mithilfe von Berechtigungen zum Erstellen von Pods mit Hostpfadbereitstellungen konnte der Forscher einen privilegierten Container in einem Pod ausführen, der wie eines dieser Tools von Drittanbietern aussieht, um Zugriff auf den Host zu erhalten. Die Möglichkeit, Pods auf diese Weise zu planen, wird im GKE-Standard erwartet, aber nicht in GKE Autopilot, da die Hostzugriffseinschränkungen umgangen wurden, die zum Aktivieren des zuvor beschriebenen SLA verwendet wurden. Dieses Problem wurde durch eine Verkürzung der Pod-Spezifikation des Drittanbieters für Zulassungslisten behoben. Rechteausweitung von Root-auf-KnotenZusätzlich zum Hostzugriff wurden die Pods Wir haben die Als Maßnahmen zur Systemhärtung, um diese Art von Angriff in Zukunft zu verhindern, werden wir in einer künftigen Version eine Autopilot-Einschränkung anwenden, die Aktualisierungen des Dienstkontos verschiedener Objekte im Namespace
Ergänzung am 15.03.2022: Persistenz mit mutierenden WebhooksIn dem Bericht wurden mutierende Webhooks verwendet, um sich nach der Kompromittierung einen privilegierten Zugang zum Cluster zu verschaffen. Dies sind Standardteile der Kubernetes API, die von Clusteradministratoren erstellt und für Administratoren sichtbar gemacht werden, wenn Autopilot Unterstützung für benutzerdefinierte Webhooks hinzufügt. Privilegierte Dienstkonten im Standard-NamespaceAutopilot-Richtlinienerzwinger haben zuvor zwei Dienstkonten im Standard-Namespace zugelassen: Wie gehe ich am besten vor?Die Richtlinien aller GKE Autopilot-Cluster wurden aktualisiert, um den unbeabsichtigten Hostzugriff zu entfernen, und keine weiteren Maßnahmen sind erforderlich. In den nächsten Wochen wird eine weitere Härtung der Richtlinien als sekundärer Schutz auf Autopilot angewendet. Sie müssen nichts weiter tun. GKE Standard-Cluster und GKE-Cluster sind nicht betroffen, da Nutzer bereits Zugriff auf den Host haben. Als Maßnahme zur Systemhärtung können Nutzer von GKE Standard-Clustern und GKE-Clustern einen ähnlichen Schutz mit einer Gatekeeper-Richtlinie anwenden, die die Selbständerung privilegierter Arbeitslasten verhindert. Eine Anleitung finden Sie in den folgenden Anleitungen zur Härtung:
|
Niedrig |
GCP-2022-008
Veröffentlicht: 23. 02. 2022
Aktualisiert: 28. 04. 2022
Referenz:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE
Beschreibung | Schweregrad |
---|---|
Das Envoy-Projekt hat kürzlich mehrere Sicherheitslücken festgestellt: CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657 und
CVE-2022-21656, die sich auf GKE-Cluster mit Anthos Service Mesh, Istio-on-GKE oder benutzerdefinierte Istio-Deployments auswirken können. Alle unten aufgeführten Probleme wurden im Envoy-Release 1.21.1 behoben. Technischer Hintergrund Weitere Details zu diesen Sicherheitslücken finden Sie hier. Was soll ich tun?GKE-Cluster, in denen Anthos Service Mesh ausgeführt wird, sollten auf eine unterstützte Version mit der Behebung der oben genannten Sicherheitslücken aktualisiert werden
GKE-Cluster, auf denen Istio-on-GKE ausgeführt wird, sollten auf eine unterstützte Version aktualisiert werden, wobei die oben genannten Sicherheitslücken behoben werden
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656 |
Hoch |
GKE on VMware
Aktualisiert: 28. 04. 2022
Beschreibung | Schweregrad |
---|---|
Envoy hat kürzlich mehrere Fehlerkorrekturen für Sicherheitslücken veröffentlicht. GKE on VMware ist betroffen, da Envoy mit Metrics Server verwendet wird. Die von uns behobenen Envoy-CVEs sind unten aufgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind:
Istio hat kürzlich eine Fehlerkorrektur für eine Sicherheitslücke veröffentlicht. Anthos auf VMware ist betroffen, da Istio für eingehenden Traffic verwendet wird. Die von uns behobenen Istio CVEs sind unten aufgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind. CVE-2022-23635 (CVSS-Punktzahl 7,5, hoch): Istiod stürzt ab, wenn Anfragen mit einem speziell erstellten Autorisierungsheader empfangen werden.Die vollständigen Beschreibungen und Auswirkungen der oben genannten CVEs finden Sie in den Sicherheitsbulletins. Erweiterung vom 28. 04. 2020: Was soll ich tun?Die folgenden Versionen von GKE on VMware beheben diese Sicherheitslücken:
Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656 |
Hoch |
Google Distributed Cloud Virtual for Bare Metal
Beschreibung | Schweregrad |
---|---|
Envoy hat kürzlich mehrere Fehlerkorrekturen für Sicherheitslücken veröffentlicht. Anthos auf Bare-Metal ist betroffen, da Envoy für Metrics-Server verwendet wird.
Die von Envoy behobenen CVEs in Version 1.10.3, 1.9.6 und 1.8.9 sind unten aufgeführt:
Die vollständigen Beschreibungen und Auswirkungen der oben genannten CVEs finden Sie in den Sicherheitsbulletins. Welche Sicherheitslücken werden mit diesem Patch behoben?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, und CVE-2022-21656 |
Hoch |
GCP-2022-006
Veröffentlicht: 14.02.2022
Aktualisiert: 16.05.2022
Aktualisierung vom 16.05.2022: Die GKE-Version 1.19.16-gke.7800 oder höher wurde der Liste der Versionen hinzugefügt, die Code zur Behebung dieser Sicherheitslücke enthalten.
Aktualisierung vom 12. Mai 2022 : Patchversionen für GKE, Google Distributed Cloud Virtual for Bare Metal, GKE on VMware und GKE on AWS wurden aktualisiert.
Es wurde ein Problem behoben, bei dem das Sicherheitsbulletin für GKE on AWS beim Hinzufügen am 23.02.2022 nicht angezeigt wurde.
GKE
Beschreibung | Schweregrad |
---|---|
In der Funktion Wie gehe ich am besten vor?Aktualisierung vom 16.05.2022: Zusätzlich zu den im 2022-05-12-Update genannten GKE-Versionen enthält die GKE-Version 1.19.16-gke.7800 oder höher auch Code, der dieses Problem behebt. Sicherheitslücke. Aktualisierung vom 12.05.2022: Die folgenden Versionen von GKE enthalten Code, mit dem diese Sicherheitslücke behoben wird:
Aktualisierung vom 15.02.2022: Korrigierte gVisor-Anweisung. Die Sicherheitslücke befindet sich im
Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben?CVE-2022-0492 |
Niedrig |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
In der Funktion Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt. COS
Die Sicherheitslücke befindet sich im cgroup_release_agent_write des Linux-Kernels in der Kernel/cgroup/cgroup-v1.c-Funktion und kann als Container-Aufschlüsselung verwendet werden. GKE auf VMware ist aufgrund des Schutzes durch das AppArmor-Standardprofil unter Ubuntu und COS nicht betroffen. Einige Kunden sind jedoch möglicherweise weiterhin anfällig, wenn sie die Sicherheitsbeschränkungen für Pods durch Änderung des Feldes „securityContext“ für Pods oder Container gelockert haben, z.B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben?CVE-2022-0492 |
Niedrig |
GKE on AWS
Beschreibung | Schweregrad |
---|---|
In der Funktion Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden Versionen der aktuellen und vorherigen Generation von GKE on AWS enthalten Code, der diese Sicherheitslücke behebt: Aktuelle Generation
Aktualisierung vom 23.02.2022:Hinweis für GKE on AWS hinzugefügt. Frühere und aktuelle Generationen von GKE on AWS sind durch den Schutz vor dem AppArmor-Standardprofil unter Ubuntu nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben?CVE-2022-0492 |
Niedrig |
GKE Enterprise auf
Beschreibung | Schweregrad |
---|---|
In der Funktion Wie gehe ich am besten vor?Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on Azure enthalten Code, durch den diese Sicherheitslücke behoben wird:
GKE in Azure ist durch den Schutz vor dem AppArmor-Standardprofil unter Ubuntu nicht betroffen. Einige Kunden sind jedoch möglicherweise anfällig, wenn sie durch die Änderung des Pod- oder Container-Sicherheitskontextfelds Sicherheitsbeschränkungen für Pods gelockert haben, z. B. durch Deaktivieren/Ändern des AppArmor-Profils, was nicht empfohlen wird. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben?CVE-2022-0492 |
Niedrig |
GCP-2022-005
Veröffentlicht: 11.02.2022Zuletzt aktualisiert: 15.02.2022
Referenznummer: CVE-2021-43527
GKE
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 15.02.2022: Einige GKE-Versionen im ursprünglichen Bulletin wurden mit anderen Fehlerkorrekturen kombiniert und ihre Versionsnummern wurden vor der Veröffentlichung erhöht. Patches sind in den folgenden GKE-Versionen verfügbar:
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Sowohl auf GKE-COS- als auch auf Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss. CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS#7 oder PKCS#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie NSS verwendet/konfiguriert wird. GKE verwendet libnss3 nicht für über das Internet zugängliche APIs. Die Auswirkungen sind auf den Hostcode beschränkt, der außerhalb von Containern ausgeführt wird. Dies ist aufgrund des minimalen Designs von Chrome OS klein. GKE-Code, der in Containern mit dem Basis-Image "golang" ausgeführt wird, ist nicht betroffen. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden GKE-Versionen durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können, abhängig davon, wie sie NSS konfigurieren, betroffen sein. Sowohl COS-Images für GKE auf VMware als auch Ubuntu-Images haben eine anfällige Version installiert und müssen gepatcht werden. CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS \#7 oder PKCS \#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie sie NSS konfigurieren/verwenden. Anthos on VMware verwendet libnss3 nicht für öffentlich zugängliche APIs. Daher sind die Auswirkungen begrenzt und der Schweregrad dieser CVE-Sicherheitslücke für GKE on VMware wird mit „Mittel“ bewertet. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden Anthos-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden Anthos-Versionen durch:
Verwenden Sie eine GKE on VMware-Version, die älter als 1.18 ist? Sie verwenden eine Anthos-Version ohne SLA und sollten ein Upgrade auf eine der unterstützten Versionen in Betracht ziehen. Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GKE Enterprise auf
Beschreibung | Schweregrad |
---|---|
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Bei Anthos-Clustern auf Azure-Ubuntu-Images ist eine anfällige Version installiert, die gepatcht werden muss. CVE-2021-43527 kann weitreichende Auswirkungen auf Anwendungen haben, die NSS zur Verarbeitung von Signaturen verwenden, die in CMS, S/MIME, PKCS#7 oder PKCS#12 codiert sind. Sowie Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden. Die Auswirkungen hängen davon ab, wie sie NSS konfigurieren/verwenden. Anthos-Cluster in Azure verwenden libnss3 nicht für öffentlich zugängliche APIs. Daher sind die Auswirkungen begrenzt und der Schweregrad dieser CVEs für Anthos in Azure wird als "Mittel" bewertet. Wie gehe ich am besten vor?Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert. Führen Sie für Ihre Cluster ein Upgrade auf eine der folgenden Anthos on Azure-Versionen durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Mittel |
GCP-2022-004
Veröffentlicht: 04.02.2022Referenznummer: CVE-2021-4034
GKE
Beschreibung | Schweregrad |
---|---|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Wie gehe ich am besten vor?GKE ist nicht betroffen, da das anfällige Modul "policykit-1" nicht auf COS- oder Ubuntu-Images installiert wird, die in GKE verwendet werden. Sie müssen nichts unternehmen. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Die GKE Enterprise-Standardkonfiguration gewährt Nutzern bereits vollständige „sudo“-Berechtigungen, sodass dieses Exploit keine Auswirkungen auf den vorhandenen Sicherheitsstatus von GKE Enterprise hat. Technische DetailsDamit dieser Programmfehler ausgenutzt werden kann, benötigt ein Angreifer sowohl eine Nicht-Root-Shell im Knotendateisystem als auch die anfällige pkexec-Version. GKE on VMware enthält zwar eine Version von Policykit-1 in seinen Release-Images, die Standardkonfiguration von GKE Enterprise erlaubt jedoch allen Nutzern, die bereits Shell-Zugriff haben, passwortfreies Sudo. Diese Sicherheitslücke bietet Nutzern also keine mehr Berechtigungen, als sie bereits haben. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. GKE on VMware ist nicht betroffen. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
GKE on AWS ist nicht betroffen. Das anfällige Modul „policykit-1“ ist nicht auf Ubuntu-Images installiert, die von der aktuellen und früheren Versionen von GKE on AWS verwendet werden. | Ohne |
GKE Enterprise auf
Beschreibung | Schweregrad |
---|---|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Die GKE Enterprise-Standardkonfiguration gewährt Nutzern bereits vollständige „sudo“-Berechtigungen, sodass dieses Exploit keine Auswirkungen auf den vorhandenen Sicherheitsstatus von GKE Enterprise hat. Technische DetailsDamit dieser Programmfehler ausgenutzt werden kann, benötigt ein Angreifer sowohl eine Nicht-Root-Shell im Knotendateisystem als auch die anfällige pkexec-Version. GKE on Azure enthält zwar eine Version von Policykit-1 in seinen Release-Images, die Standardkonfiguration von GKE Enterprise erlaubt jedoch allen Nutzern, die bereits Shell-Zugriff haben, ein passwortfreies Sudo-Verfahren, sodass diese Sicherheitslücke einem Nutzer nicht mehr Berechtigungen einräumt, als er bereits hat. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. GKE on Azure ist nicht betroffen. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Abhängig von den Paketen, die auf dem vom Kunden verwalteten Betriebssystem installiert sind, kann Google Distributed Cloud Virtual for Bare Metal betroffen sein. Scannen Sie Ihre Betriebssystem-Images und patchen Sie sie bei Bedarf. | Ohne |
GCP-2022-002
Veröffentlicht: 01.02.2022Zuletzt aktualisiert: 07.03.2022
Referenz: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Abschnitte zu GKE on GKE on AWS in Azure 2022: hinzugefügt. Roll-out-Updates für GKE und GKE on VMware wurden hinzugefügt.
GKE
Aktualisiert: 07.03.2022
Beschreibung | Schweregrad |
---|---|
Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den COS-Versionshinweisen. Technische DetailsIn CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann. Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht. Der Exploit-Pfad für diese Sicherheitslücke, die auf dem Systemaufruf "Unshare" basiert, wird in GKE Autopilot-Clustern standardmäßig mithilfe von seccomp-Filterung blockiert. Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt. Was soll ich tun?Aktualisierung vom 7. März 2022: Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um alle diese Sicherheitslücken sowohl für Ubuntu- als auch für COS-Images zu beheben. Führen Sie ein Upgrade Ihrer Steuerungsebene und Knoten auf eine der folgenden GKE-Versionen durch:
Aktualisierung vom 25. Februar 2022: Wenn Sie Ubuntu-Knoten-Images verwenden, reagiert 1.22.6-gke.1000 nicht auf CVE-2021-22600. Wir aktualisieren dieses Bulletin, sobald die Ubuntu-Patchversionen verfügbar sind. Aktualisierung vom 23.02.2022: Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Aktualisieren Sie Ihre Cluster auf eine der folgenden GKE-Versionen.
Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar. Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden GKE-Versionen.
Außerdem werden die Versionen 1.22 und 1.23 ausgeführt. Wir aktualisieren dieses Bulletin, sobald sie verfügbar sind. Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GKE-Cluster auf
Zuletzt aktualisiert: 23.02.2022
Beschreibung | Schweregrad |
---|---|
Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure. Weitere Informationen finden Sie in den COS-Versionshinweisen. Technische DetailsIn CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann. Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht. Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt. Was soll ich tun?Aktualisierung vom 23. Februar 2022: Version 1.10.2 (Korrekturen von CVE-2021-22600, CVE-2021-4154 und CVE-2022-0185) ist jetzt für den 1. März geplant. Aktualisierung vom 23.02.2022: Patchversionen wurden hinzugefügt, die auf CVE-2021-2260 reagieren. Version 1.10.1 behebt nicht CVE-2021-22600, sondern die anderen Sicherheitslücken. Die nicht freigegebenen Versionen 1.9.4 und 1.10.2 beheben CVE-2021-22600. Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden GKE on VMware-Versionen durch:
Aktualisierung vom 04.02.2022: Es wurden Informationen zu Ubuntu-Images hinzugefügt, die CVE-2021-22600 nicht berücksichtigen. Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf eine der folgenden GKE on VMware-Versionen durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure. Weitere Informationen finden Sie in den COS-Versionshinweisen. Technische DetailsIn CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann. Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht. Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt. Wie gehe ich am besten vor?GKE on AWSDie Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgende GKE on AWS-Version durch:
GKE on AWS (vorherige Generation)Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on AWS (vorherige Generation) wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie für Ihre Cluster ein Upgrade auf eine der folgenden Versionen von GKE on AWS (vorherige Generation) durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GKE Enterprise auf
Beschreibung | Schweregrad |
---|---|
Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure. Weitere Informationen finden Sie in den COS-Versionshinweisen. Technische DetailsIn CVE-2021-4154 kann ein Angreifer den Systemaufrufparameter CVE-2021-22600 ist ein doppelter kostenloser Exploit in package_set_ring, der zu einem Container-Escape auf dem Host-Knoten führen kann. Bei CVE-2022-0185 kann ein Heap-Überlauffehler in legacy_parse_param() zu einem Schreibvorgang außerhalb des Bereichs führen, der einen Container-Breakout verursacht. Nutzer, die das standardmäßige seccomp-Profil der Containerlaufzeit manuell auf GKE-Standardclustern aktiviert haben, sind ebenfalls geschützt. Wie gehe ich am besten vor?Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgende GKE on Azure-Version durch:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GCP-2021-024
Veröffentlicht: 21.10.2021Referenznummer: CVE-2021-25742
GKE
Beschreibung | Schweregrad |
---|---|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Wie gehe ich am besten vor?Dieses Sicherheitsproblem wirkt sich nicht auf die Infrastruktur Ihres GKE-Cluster oder die Clusterinfrastruktur einer GKE Enterprise-Umgebung aus. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Wie gehe ich am besten vor?Dieses Sicherheitsproblem wirkt sich nicht auf die Infrastruktur Ihres GKE-Cluster oder die Clusterinfrastruktur einer GKE Enterprise-Umgebung aus. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Wie gehe ich am besten vor?Dieses Sicherheitsproblem wirkt sich nicht auf die Infrastruktur Ihres GKE-Cluster oder die Clusterinfrastruktur einer GKE Enterprise-Umgebung aus. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Wie gehe ich am besten vor?Dieses Sicherheitsproblem wirkt sich nicht auf die Infrastruktur Ihres GKE-Cluster oder die Clusterinfrastruktur einer GKE Enterprise-Umgebung aus. Wenn Sie in Ihren Arbeitslastbereitstellungen Ingress-nginx verwenden, sollten Sie sich mit diesem Sicherheitsproblem vertraut machen. Weitere Informationen finden Sie unter Ingress-nginx-Problem 7837. |
Ohne |
GCP-2021-019
Veröffentlicht: 29.09.2021GKE
Beschreibung | Schweregrad |
---|---|
Es gibt ein bekanntes Problem, bei dem eine Bin ich betroffen?Wenn Ihre kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Dieses Problem betrifft die folgenden GKE-Versionen:
Wenn Sie Google Cloud Armor für Ihre Ingress-Ressourcen nicht über die Wie gehe ich am besten vor?Führen Sie ein Upgrade Ihrer GKE-Steuerungsebene auf eine der folgenden aktualisierten Versionen durch, in denen dieses Problem behoben wurde und die sichere Verwendung von
Sie können dieses Problem auch verhindern, indem Sie die Bereitstellung von Um dieses Problem zu vermeiden, aktualisieren Sie Ihre Da die Das folgende Beispielmanifest beschreibt eine apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Wenn Sie CI/CD-Systeme oder -Tools haben, die regelmäßig |
Niedrig |
GCP-2021-022
Veröffentlicht: 23.09.2021GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im LDAP-Modul des GKE Enterprise Identity Service (AIS) von GKE on VMware in den Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, über die ein zum Generieren von Schlüsseln verwendeter Startschlüssel vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren. Technische DetailsEine kürzlich hinzugefügte Ergänzung für AIS-Code erstellt symmetrische Schlüssel mit dem "math/rand"-Modul von Golang, das für sicherheitsrelevanten Code nicht geeignet ist. Das Modul wird so verwendet, dass ein vorhersehbarer Schlüssel generiert wird. Während der Identitätsüberprüfung wird ein STS-Schlüssel (Secure Token Service) generiert, der anschließend mit einem einfach abzuleitenden symmetrischen Schlüssel verschlüsselt wird. Wie gehe ich am besten vor?Diese Sicherheitslücke betrifft nur Kunden, die AIS in GKE on VMware-Versionen 1.8 und 1.8.1 verwenden. Führen Sie für Nutzer von GKE on VMware 1.8 ein Upgrade Ihrer Cluster auf die folgende Version durch:
|
Hoch |
GCP-2021-021
Veröffentlicht: 22.09.2021Referenznummer: CVE-2020-8561
GKE
Beschreibung | Schweregrad |
---|---|
Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um Technische DetailsDurch diese Sicherheitslücke können Nutzer, die die Antworten von Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden. Was soll ich tun?Momentan müssen Sie nichts weiter tun. Die derzeit verfügbaren Versionen von GKE und GKE Enterprise bieten die folgenden Schutzmaßnahmen, die vor dieser Art von Angriff schützen:
Welche Sicherheitslücke wird mit diesem Patch behoben?<pCVE-2020-8561 </p |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um Technische DetailsDurch diese Sicherheitslücke können Nutzer, die die Antworten von Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden. Was soll ich tun?Momentan müssen Sie nichts weiter tun. Die derzeit verfügbaren Versionen von GKE und GKE Enterprise bieten die folgenden Schutzmaßnahmen, die vor dieser Art von Angriff schützen:
Welche Sicherheitslücke wird mit diesem Patch behoben?<pCVE-2020-8561 </p |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um Technische DetailsDurch diese Sicherheitslücke können Nutzer, die die Antworten von Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden. Was soll ich tun?Momentan müssen Sie nichts weiter tun. Die derzeit verfügbaren Versionen von GKE und GKE Enterprise bieten die folgenden Schutzmaßnahmen, die vor dieser Art von Angriff schützen:
Welche Sicherheitslücke wird mit diesem Patch behoben?<pCVE-2020-8561 </p |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Bei Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um Technische DetailsDurch diese Sicherheitslücke können Nutzer, die die Antworten von Dieses Problem lässt sich beheben, indem bestimmte Parameter für den API-Server geändert werden. Was soll ich tun?Momentan müssen Sie nichts weiter tun. Die derzeit verfügbaren Versionen von GKE und GKE Enterprise bieten die folgenden Schutzmaßnahmen, die vor dieser Art von Angriff schützen:
Welche Sicherheitslücke wird mit diesem Patch behoben?<pCVE-2020-8561 </p |
Mittel |
GCP-2021-018
Veröffentlicht: 15.09.2021Zuletzt aktualisiert: 24.09.2021
Referenznummer: CVE-2021-25741
Update vom 24.09.2021: Bulletin für GKE on Bare Metal wurde mit zusätzlichen Patchversionen aktualisiert.
Aktualisierung vom 20.09.2021: Bulletins für GKE on Bare Metal hinzugefügt
Aktualisierung vom 16.09.2021: Bulletins für GKE on VMware hinzugefügt
GKE
Beschreibung | Schweregrad |
---|---|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Technische Details:In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.Wie gehe ich am besten vor?Wir empfehlen Ihnen, ein Upgrade Ihrer Knotenpools auf eine der folgenden Versionen oder höher durchzuführen, um die neuesten Patches zu nutzen:
Die folgenden Versionen enthalten ebenfalls die Korrektur:
|
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Technische Details:In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.Wie gehe ich am besten vor?Aktualisiert am 24.09.2021: Die Patchversionen 1.8.3 und 1.7.4 sind jetzt verfügbar. Aktualisiert am 17.09.2021: Die Liste der verfügbaren Versionen, die den Patch enthalten, wurde korrigiert. Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Administratorcluster und Nutzercluster auf eine der folgenden Versionen durch:
|
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Technische Details:In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.Was soll ich tun?Aktualisierung vom 16.09.2021: Liste der unterstützten gke-Versionen für Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen Folgendes:
|
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Technische Details:In CVE-2021-25741 kann der Angreifer einen symbolischen Link von einem bereitgestellten emptyDir zum Root-Dateisystem des Knotens (/) erstellen. Das Kubelet folgt dem Symlink und stellt den Host-Root im Container bereit.Wie gehe ich am besten vor?Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Administratorcluster und Nutzercluster auf eine der folgenden Versionen durch:
|
Hoch |
GCP-2021-017
Veröffentlicht: 01.09.2021Zuletzt aktualisiert: 23.09.2021
Referenznummer: CVE-2021-33909
CVE-2021-33910
GKE
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 23.09.2021:Container, die in GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke durch Angriffe aus dem Container nicht betroffen. Aktualisierung vom 15.09.2021:Die folgenden GKE-Versionen beheben die Sicherheitslücken:
Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Technische Details:In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt. Wie gehe ich am besten vor?Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
|
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Technische Details:In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt. Wie gehe ich am besten vor?Die Versionen der Linux-Knoten-Images für GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
|
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Technische Details:In CVE-2021-33909 beschränkt die Dateisystemebene des Linux-Kernels die Zwischenspeicherzuordnungen von Sequenzen nicht ordnungsgemäß, was zu einem Ganzzahlüberlauf, einem Schreibvorgang außerhalb des Bereichs und einer Eskalation zu root führt. Wie gehe ich am besten vor?Die Versionen der Linux- und COS-Knoten-Images für GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
Siehe Versionsverlauf – Kubernetes- und Knoten-Kernel-Versionen. |
Hoch |
GCP-2021-015
Veröffentlicht: 13.07.2021Zuletzt aktualisiert: 15.07.2021
Referenznummer: CVE-2021-22555
GKE
Beschreibung | Schweregrad |
---|---|
Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit Technische Details
Bei diesem Angriff kann ein ausgehender Schreibvorgang in Was soll ich tun?Die folgenden Linux-Versionen in GKE wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit Technische Details
Bei diesem Angriff kann ein ausgehender Schreibvorgang in Wie gehe ich am besten vor?Die folgenden Versionen von Linux on GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen:
Welche Sicherheitslücke wird mit diesem Patch behoben? |
Hoch |
GCP-2021-014
Veröffentlicht: 05.07.2021Referenznummer: CVE-2021-34527
GKE
Beschreibung | Schweregrad |
---|---|
Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. GKE-Windows-Knoten enthalten den betroffenen Warteschlangendienst nicht im Basis-Image. GKE-Windows-Deployments sind daher von diesem Angriff nicht gefährdet. Welche Sicherheitslücken werden mit diesem Bulletin behoben?
|
Hoch |
GCP-2021-012
Veröffentlicht: 01.07.2021Zuletzt aktualisiert: 09.07.2021
Referenznummer: CVE-2021-34824
GKE
Beschreibung | Schweregrad |
---|---|
Wie gehe ich am besten vor?Das Istio-Projekt disclosed eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können. Technische Details:Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet. Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Wie gehe ich am besten vor?GKE-Cluster führen Istio nicht standardmäßig aus und verwenden, falls aktiviert, die Istio-Version 1.6, die für diesen Angriff nicht anfällig ist. Wenn Sie Istio im Cluster auf Istio 1.8 oder höher installiert oder darauf aktualisiert haben, führen Sie ein Upgrade auf Istio auf die neueste unterstützte Version durch. |
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Wie gehe ich am besten vor?Das Istio-Projekt disclosed eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können. Technische Details:Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet. Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Wie gehe ich am besten vor?Anthos-Cluster auf VMware v1.6 und v1.7 sind für diesen Angriff nicht anfällig. Anthos-Cluster auf VMware v1.8 sind anfällig. Wenn Sie Anthos-Cluster unter VMware v1.8 verwenden, führen Sie ein Upgrade auf die folgende Patchversion oder höher durch:
|
Hoch |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Wie gehe ich am besten vor?Das Istio-Projekt disclosed eine neue Sicherheitslücke offengelegt (CVE-2021-34824), die Istio betrifft. Istio weist eine Sicherheitslücke auf, die aus der Ferne ausgenutzt werden kann und bei der die in den Feldern "Gateway"und "DestinationRule credentialName" angegebenen Anmeldedaten über verschiedene Namespaces aufgerufen werden können. Technische Details:Das sichere Istio-Gateway oder die Arbeitslasten, die die DestinationRule verwenden, können private TLS-Schlüssel und Zertifikate aus Kubernetes-Secrets über die Konfiguration von credentialName laden. Ab Istio 1.8 werden die Secrets aus istiod gelesen und über XDS an Gateways und Arbeitslasten gesendet. Normalerweise kann ein Gateway oder eine Arbeitslastbereitstellung nur auf TLS-Zertifikate und private Schlüssel zugreifen, die im Secret in seinem Namespace gespeichert sind. Aufgrund eines Programmfehlers in istiod kann ein Client, der auf die Istio XDS API zugreifen kann, jedoch alle TLS-Zertifikate und privaten Schlüssel abrufen, die in istiod im Cache gespeichert sind. Cluster, die mit Anthos Clusters on Bare Metal Version 1.8.0 erstellt oder aktualisiert wurden, sind von diesem CVE betroffen. Wie gehe ich am besten vor?Die Anthos-Versionen 1.6 und 1.7 sind von diesem Angriff nicht gefährdet. Wenn Sie v1.8.0-Cluster haben, laden Sie die Version 1.8.1 von bmctl herunter, installieren Sie sie und aktualisieren Sie Ihre Cluster auf die folgende Patchversion:
|
Hoch |
GCP-2021-011
Veröffentlicht: 04.06.2021Zuletzt aktualisiert: 19.10.2021
Referenznummer: CVE-2021-30465
Aktualisierung vom 19.10.2021: Bulletins für GKE on VMware, GKE on AWS und GKE on Bare Metal wurden hinzugefügt.
GKE
Beschreibung | Schweregrad |
---|---|
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet. Technische Details
Das Paket Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung. Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit. Wie gehe ich am besten vor?Mit einem neu veröffentlichten Patch für Führen Sie ein Upgrade Ihres GKE-Clusters auf eine der folgenden aktualisierten Versionen durch:
|
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Bei GKE on VMware müssen Sie zum Ausnutzen dieser Sicherheitslücke Pods erstellen können. Daher haben wir den Schweregrad dieser Sicherheitslücke mit MEDIUM bewertet. Technische Details
Das Paket Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung. Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit. Wie gehe ich am besten vor?Mit einem neu veröffentlichten Patch für
|
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da es sich um eine Sicherheitslücke auf Betriebssystemebene handelt, sind GKE on AWS nicht anfällig. Technische Details
Das Paket Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung. Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit. Wie gehe ich am besten vor?Achten Sie darauf, dass die Betriebssystemversion, auf der Sie GKE on AWS ausführen, auf die neueste Betriebssystemversion mit einem aktualisiertenrunc -Paket aktualisiert wurde.
|
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da es sich um eine Sicherheitslücke auf Betriebssystemebene handelt, ist GKE on Bare Metal nicht anfällig. Technische Details
Das Paket Bei diesem spezifischen Angriff kann ein Nutzer eine Race-Bedingung nutzen, indem er mehrere Pods gleichzeitig auf einem einzelnen Knoten startet. Diese Pods haben über einen Symlink dieselbe Volume-Bereitstellung. Wenn der Angriff erfolgreich ist, stellt einer der Pods das Dateisystem des Knotens mit Root-Berechtigungen bereit. Wie gehe ich am besten vor?
Achten Sie darauf, dass die Betriebssystemversion, auf der Sie Google Distributed Cloud Virtual for Bare Metal ausführen, auf die neueste Betriebssystemversion mit einem aktualisierten |
Ohne |
GCP-2021-006
Veröffentlicht: 11.05.2021Referenz: CVE-2021-31920
GKE
Beschreibung | Schweregrad |
---|---|
Das Istio-Projekt disclosed eine neue Sicherheitslücke offen (CVE-2021-31920), die Istio betrifft. Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der eine HTTP-Anfrage mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden. Wie gehe ich am besten vor?Wir empfehlen dringend, GKE-Cluster zu aktualisieren und neu zu konfigurieren. Bitte führen Sie die beiden folgenden Schritte aus, um die Sicherheitslücke erfolgreich zu schließen:
|
Hoch |
GCP-2021-004
Veröffentlicht: 06.05.2021Referenz: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Beschreibung | Schweregrad |
---|---|
In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-29258, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen. GKE-Cluster führen Istio nicht standardmäßig aus und sind nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein. Wie gehe ich am besten vor?Aktualisieren Sie Ihre GKE-Steuerungsebene auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:
|
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-29258, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen. GKE on VMware verwendet standardmäßig Envoy für Ingress. Daher sind Ingress-Dienste möglicherweise anfällig für Denial-of-Service. Wie gehe ich am besten vor?Aktualisieren Sie GKE on VMware nach der Veröffentlichung auf eine der folgenden Patchversionen, um diese Sicherheitslücken zu beheben:
|
Mittel |
GKE-Cluster auf
Aktualisiert: 06.05.2021
Beschreibung | Schweregrad |
---|---|
In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken offen gelegt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-29258, die einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen. Google Distributed Cloud Virtual for Bare Metal verwendet standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für DoS (Denial of Service) sind. Wie gehe ich am besten vor?Zum Beheben dieser Sicherheitslücken führen Sie ein Upgrade Ihres Google Distributed Cloud Virtual for Bare Metal-Clusters auf eine der folgenden Patchversionen durch, wenn diese veröffentlicht werden:
|
Mittel |
GCP-2021-003
Veröffentlicht: 19.04.2021Referenz: CVE-2021-25735
GKE
Beschreibung | Schweregrad |
---|---|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben ( CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen. In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Wie gehe ich am besten vor?Um diese Sicherheitslücke zu beheben, aktualisieren Sie Ihren GKE-Cluster auf eine der folgenden Patchversionen:
|
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben ( CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen. In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Wie gehe ich am besten vor?Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft. |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben ( CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen. In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Wie gehe ich am besten vor?Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft. |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke bekanntgegeben ( CVE-2021-25735). Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen. In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Wie gehe ich am besten vor?Diese Sicherheitslücke wird in einer der nächsten Patchversionen entschärft. |
Mittel |
GCP-2021-001
Veröffentlicht: 28.01.2021Referenz: CVE-2021-3156
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Dienstprogramm Google Kubernetes Engine-Cluster (GKE) sind von dieser Sicherheitslücke nicht betroffen:
Was soll ich tun?Da GKE-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. GKE wird den Patch für diese Sicherheitslücke in die regelmäßigen künftigen Releases übernehmen. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im Linux-Dienstprogramm GKE on VMware sind von dieser Sicherheitslücke nicht betroffen:
Wie gehe ich am besten vor?Da GKE on VMware-Cluster nicht von dieser Sicherheitslücke betroffen sind, sind keine weiteren Maßnahmen erforderlich. GKE on VMware wird den Patch für diese Sicherheitslücke in einem zukünftigen Release regelmäßig anwenden. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im Linux-Dienstprogramm GKE on AWS ist von dieser Sicherheitslücke nicht betroffen:
Wie gehe ich am besten vor?Da GKE on AWS-Cluster nicht von dieser Sicherheitslücke betroffen sind, sind keine weiteren Maßnahmen erforderlich. GKE on AWS wird den Patch für diese Sicherheitslücke in einem zukünftigen Release regelmäßig anwenden. |
Ohne |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Im Linux-Dienstprogramm Google Distributed Cloud Virtual for Bare Metal-Cluster sind von dieser Sicherheitslücke nicht betroffen:
Wie gehe ich am besten vor?Da Google Distributed Cloud Virtual for Bare Metal-Cluster nicht von dieser Sicherheitslücke betroffen sind, sind keine weiteren Maßnahmen erforderlich. Google Distributed Cloud Virtual for Bare Metal wird den Patch für diese Sicherheitslücke in einem kommenden Release regelmäßig anwenden. |
Ohne |
GCP-2020-015
Veröffentlicht: 07.12.2020Zuletzt aktualisiert: 22.12.2021
Referenznummer: CVE-2020-8554
Aktualisierung vom 22.12.2021: Verwendet gcloud beta
anstelle des Befehls gcloud
.
Aktualisierung vom 15.12.2021: Zusätzliche Abhilfe für GKE.
GKE
Beschreibung | Schweregrad |
---|---|
Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
gcloud beta container clusters update –no-enable-service-externalips Aktualisiert: 15.12.2021 Für GKE ist jetzt die folgende Abhilfemaßnahme verfügbar:
Weitere Informationen finden Sie unter Clustersicherheit härten. Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen. Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Von dieser Sicherheitslücke sind alle GKE-Cluster (Google Kubernetes Engine) betroffen. Wie gehe ich am besten vor?Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben. Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion. Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:
Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
gcloud beta container clusters update –no-enable-service-externalips Aktualisiert: 15.12.2021 Für GKE ist jetzt die folgende Abhilfemaßnahme verfügbar:
Weitere Informationen finden Sie unter Clustersicherheit härten. Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen. Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Alle GKE on VMware sind von dieser Sicherheitslücke betroffen. Wie gehe ich am besten vor?Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben. Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion. Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:
Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.
gcloud beta container clusters update –no-enable-service-externalips Aktualisiert: 15.12.2021 Für GKE ist jetzt die folgende Abhilfemaßnahme verfügbar:
Weitere Informationen finden Sie unter Clustersicherheit härten. Das Kubernetes-Projekt hat eine neue Sicherheitslücke erkannt, CVE-2020-8554, durch die ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP erstellen kann, um Netzwerktraffic von anderen Pods im Cluster abzufangen. Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. GKE on AWS ist von dieser Sicherheitslücke betroffen. Wie gehe ich am besten vor?Möglicherweise muss Kubernetes in einer zukünftigen Version abwärts inkompatible Designänderungen vornehmen, um die Sicherheitslücke zu beheben. Wenn viele Nutzer Zugriff auf Ihren Cluster mit Berechtigungen zum Erstellen von Diensten haben, z. B. in einem mehrmandantenfähigen Cluster, sollten Sie in der Zwischenzeit eine Risikominderung vornehmen. Der beste Ansatz zur Risikominderung besteht momentan darin, die Verwendung von ExternalIPs in einem Cluster einzuschränken. ExternalIPs sind keine häufig verwendete Funktion. Schränken Sie die Verwendung von ExternalIPs in einem Cluster mit einer der folgenden Methoden ein:
Wie in der Kubernetes-Ankündigung erwähnt, wird für Dienste vom Typ "LoadBalancer" keine Abhilfe geschaffen, da standardmäßig nur sehr privilegierte Nutzer und Systemkomponenten die |
Mittel |
GCP-2020-014
Veröffentlicht: 20.10.2020Referenz: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Aktualisiert: 20.10.2020
Beschreibung | Schweregrad |
---|---|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
GKE ist nicht betroffen. Wie gehe ich am besten vor?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
Ohne |
GKE-Cluster auf
Updated: 10.10.2020
Beschreibung | Schweregrad |
---|---|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
GKE on VMware ist nicht betroffen. Wie gehe ich am besten vor?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
Ohne |
GKE-Cluster auf
Aktualisiert: 20.10.2020
Beschreibung | Schweregrad |
---|---|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
GKE on AWS ist nicht betroffen. Wie gehe ich am besten vor?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
Ohne |
GCP-2020-012
Veröffentlicht: 14.09.2020Referenz: CVE-2020-14386
GKE
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen. Was soll ich tun?Sie können als Gegenmaßnahme für diese Sicherheitslücke ein Upgrade Ihrer Steuerungsebene durchführen. Aktualisieren Sie dann Ihre Knoten auf eine der unten aufgelisteten Patchversionen.
e Ausnutzung dieser Sicherheitslücke erfordert Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: Die Sicherheitslücke CVE-2020-14386, über die Container mit |
Hoch |
GKE-Cluster auf
Aktualisiert: 17.09.2020
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE on VMware-Knoten sind betroffen. Wie gehe ich am besten vor?Um diese Sicherheitslücke zu schließen, aktualisieren Sie Ihren Cluster auf eine Patchversion. Die Sicherheitslücken werden in den folgenden {gke_on_prem_name}}-Versionen behoben. Dieses Bulletin wird aktualisiert, sobald die Patchversionen verfügbar sind:
e Ausnutzung dieser Sicherheitslücke erfordert Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: Die Sicherheitslücke CVE-2020-14386, über die Container mit |
Hoch |
GKE-Cluster auf
Aktualisiert: 13.10.2020
Beschreibung | Schweregrad |
---|---|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE on AWS-Knoten sind betroffen. Wie gehe ich am besten vor?Um diese Sicherheitslücke zu schließen, aktualisieren Sie Ihren Verwaltungsdienst und Ihre Nutzercluster auf eine Patchversion. Die folgenden zukünftigen GKE on AWS-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind:
Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: Die Sicherheitslücke CVE-2020-14386, über die Container mit |
Hoch |
GCP-2020-011
Veröffentlicht: 24.07.2020Referenz: CVE-2020-8558
GKE
Beschreibung | Schweregrad |
---|---|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Damit ein Angreifer diese Sicherheitslücke in GKE-Clustern ausnutzen kann, muss er Netzwerkadministratorberechtigungen für die Google Cloud haben, in der die VPC des Clusters gehostet wird. Die Sicherheitslücke allein verleiht einem Angreifer keine Netzwerkadministratorberechtigungen. Aus diesem Grund wurde dieser Sicherheitslücke in GKE ein niedriger Schweregrad zugewiesen. Wie gehe ich am besten vor?Führen Sie zum Beheben dieser Sicherheitslücke ein Upgrade für die Knotenpools Ihres Clusters auf die folgenden GKE-Versionen (oder höher) aus:
Welche Sicherheitslücke wird mit diesem Patch behoben?Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558. |
Niedrig |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Wie gehe ich am besten vor?Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Die folgenden zukünftigen GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Welche Sicherheitslücke wird mit diesem Patch behoben?Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558. |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Damit diese Sicherheitslücken in Nutzerclustern behoben werden können, muss ein Angreifer Quellzielprüfungen auf den EC2-Instanzen im Cluster deaktivieren. Dazu muss der Angreifer auf den EC2-Instanzen AWS-IAM-Berechtigungen für Wie gehe ich am besten vor?Aktualisieren Sie Ihren Cluster auf eine Patchversion, um diese Sicherheitslücke zu schließen. Bei den folgenden geplanten Versionen von GKE on AWS oder neueren Versionen soll diese Sicherheitslücke behoben werden:
Welche Sicherheitslücke wird mit diesem Patch behoben?Mit diesem Patch wird die folgende Sicherheitslücke behoben: CVE-2020-8558. |
Niedrig |
GCP-2020-009
Veröffentlicht: 15.07.2020Referenz: CVE-2020-8559
GKE
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu. Was soll ich tun?Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Cluster werden in den nächsten Wochen automatisch aktualisiert und die Patchversionen werden bis zum 19. Juli 2020 verfügbar sein, um den Plan für ein manuelles Upgrade zu beschleunigen. Die folgenden (oder neueren) Versionen der GKE-Steuerungsebene enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten. |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu. Wie gehe ich am besten vor?Aktualisieren Sie Ihr Cluster auf eine Patchversion. Die folgenden zukünftigen GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten. |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein lässt also nicht die Manipulation von Knoten in Ihrem Cluster zu. Wie gehe ich am besten vor?GKE on AWS GA (1.4.1, verfügbar ab Ende Juli 2020) oder höher enthält den Patch für diese Sicherheitslücke. Wenn Sie eine ältere Version verwenden, laden Sie eine neue Version des anthos-gke-Befehlszeilentools herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu. Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8559. Diese Sicherheitslücke wird für GKE mit dem Schweregrad "Mittel" eingestuft, da der Angreifer Informationen aus erster Hand über den Cluster, die Knoten und Arbeitslasten benötigt, um diesen Angriff wirksam zu nutzen, und bereits ein anderer Knoten manipuliert worden sein muss. Diese Sicherheitslücke selbst bietet dem Angreifer keinen manipulierten Knoten. |
Mittel |
GCP-2020-007
Veröffentlicht: 01.06.2020Referenz: CVE-2020-8555
GKE
Beschreibung | Schweregrad |
---|---|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Was soll ich tun?Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Die überwiegende Mehrheit der Cluster führt bereits eine Patchversion aus. Bei den folgenden GKE-Versionen sowie alle neueren Versionen wurde diese Sicherheitslücke behoben:
Cluster mit Release-Versionen verwenden bereits Versionen der Steuerungsebene mit Risikominderung. Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte. Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Wie gehe ich am besten vor?Die folgenden GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:
Wenn Sie eine frühere Version verwenden, aktualisieren Sie Ihren vorhandenen Cluster auf eine Version, die diese Fehlerkorrektur enthält. Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte. Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene wie unten beschrieben auf die neueste Patchversion zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Wie gehe ich am besten vor?GKE on AWS v0.2.0 oder höher enthält den Patch für diese Sicherheitslücke bereits. Wenn Sie eine ältere Version verwenden, laden Sie eine neue Version des anthos-gke-Befehlszeilentools herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu. Welche Sicherheitslücke wird mit diesem Patch behoben?Diese Patches beheben die Sicherheitslücke CVE-2020-8555. Diese Sicherheitslücke wird in GKE mit dem Schweregrad "Mittel" bewertet, da sie aufgrund verschiedener Härtungsmaßnahmen der Steuerungsebene nur schwer ausgenutzt werden konnte. Ein Angreifer mit Berechtigungen zum Erstellen eines Pods mit bestimmten integrierten Volume-Typen (GlusterFS, Quobyte, StorageFS, ScaleIO) oder Berechtigungen zum Erstellen einer StorageClass kann Wird der Angriff mit einer Methode kombiniert, um die Ergebnisse von |
Mittel |
GCP-2020-006
Veröffentlicht: 01.06.2020Referenz: Kubernetes-Problem 91507
GKE
Beschreibung | Schweregrad |
---|---|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen ein Upgrade auf die neueste Patchversion, wie unten beschrieben. Wie gehe ich am besten vor?Sie können als Gegenmaßnahme für diese Sicherheitslücke ein Upgrade Ihrer Steuerungsebene durchführen. Aktualisieren Sie dann Ihre Knoten auf eine der unten aufgelisteten Patchversionen. Cluster mit Release-Versionen führen sowohl auf der Steuerungsebene als auch auf Knoten bereits Patchversionen aus:
Sehr wenige Container benötigen normalerweise Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke: Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen ein Upgrade auf die neueste Patchversion, wie unten beschrieben. Wie gehe ich am besten vor?Aktualisieren Sie Ihre Cluster auf die folgende oder eine neuere Version, um diese Sicherheitslücke für GKE on VMware zu beheben:
Normalerweise benötigen nur sehr wenige Container Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke: Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die |
Mittel |
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen ein Upgrade auf die neueste Patchversion, wie unten beschrieben. Wie gehe ich am besten vor?Laden Sie das anthos-gke-Befehlszeilentool mit der folgenden Version oder höher herunter und erstellen Sie Ihre Verwaltungs- und Nutzercluster neu:
Sehr wenige Container benötigen normalerweise Entfernen Sie die Funktion
Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke: Die Sicherheitslücke, die unter Kubernetes-Problem 91507 beschrieben ist. Dabei kann die |
Mittel |
GCP-2020-005
Veröffentlicht: 07.05.2020Zuletzt aktualisiert: 07.05.2020
Referenz: CVE-2020-8835
GKE
Beschreibung | Schweregrad |
---|---|
Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen für den Hostknoten zu erhalten. GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich wie unten beschrieben ein Upgrade auf die neueste Patchversion durchzuführen. Knoten mit Container-Optimized OS sind nicht betroffen. Knoten, die auf GKE on VMware ausgeführt werden, sind nicht betroffen. Wie gehe ich am besten vor?Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Nur GKE-Ubuntu-Knoten mit GKE 1.16 oder 1.17 sind betroffen. Führen Sie zuerst ein Upgrade auf die neueste Version für den Master durch. Dieser Patch ist in Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 und neueren Releases verfügbar. Informationen zur Verfügbarkeit der Patches finden Sie in den Versionshinweisen. Welche Sicherheitslücke wird mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: In CVE-2020-8835 wird eine Sicherheitslücke in der Linux Kernel-Version 5.5.0 und neueren Versionen beschrieben, die es einem schädlichen Container mit minimaler Nutzerinteraktion in Form eines ausführbaren Befehls ermöglicht, Lese- und Schreibvorgänge im Kernel-Speicher durchzuführen und so auf dem Hostknoten Code auf Root-Ebene auszuführen. Der Schweregrad dieser Sicherheitslücke ist "Hoch". |
Hoch |
GCP-2020-004
Veröffentlicht: 07.05.2020Aktualisiert: 20.05.2020
Referenz: CVE-2019-11254
GKE-Cluster auf
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht. Sie können diese Sicherheitslücke verringern, indem Sie einschränken, welche Clients Netzwerkzugriff auf Ihre Kubernetes API-Server haben. Wie gehe ich am besten vor?Wir empfehlen ein Upgrade Ihrer Cluster auf Patchversionen mit der Fehlerkorrektur, sobald diese verfügbar sind. Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:
Welche Sicherheitslücken werden mit diesem Patch behoben?Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben: |
Mittel |
GCP-2020-003
Veröffentlicht: 31.03.2020Aktualisiert: 20.03.2020
Referenz: CVE-2019-11254
GKE
Beschreibung | Schweregrad |
---|---|
In Kubernetes wurde kürzlich eine in CVE-2019-11254 beschriebene Sicherheitslücke festgestellt. Sie erlaubt Nutzern, die POST-Anfragen stellen dürfen, DoS-Remoteangriffe auf Kubernetes API-Server. Das Kubernetes Product Security Committee (PSC) hat zusätzliche Informationen zu dieser Sicherheitslücke veröffentlicht. In GKE-Clustern, die autorisierte Masternetzwerke verwenden, und privaten Clustern ohne öffentlichen Endpunkt tritt diese Sicherheitslücke seltener auf. Wie gehe ich am besten vor?Wir empfehlen ein Upgrade Ihres Clusters auf eine Patchversion, mit der diese Sicherheitslücke behoben wird. Die Patchversionen, mit denen die Sicherheitslücke behoben wird, sind unten aufgeführt:
Welche Sicherheitslücken werden mit diesem Patch behoben?Mit dem Patch wird die folgende DoS-Sicherheitslücke (Denial of Service) behoben: |
Mittel |
GCP-2020-002
Veröffentlicht: 23.03.2020Zuletzt aktualisiert: 23.03.2020
Referenznummer: CVE-2020-8551, CVE-2020-8552
GKE
Beschreibung | Schweregrad |
---|---|
Es wurden zwei DoS-Sicherheitslücken in Kubernetes offengelegt. Die eine betrifft den API-Server, die andere Kubelets. Weitere Einzelheiten finden Sie in den Kubernetes-Problemen 89377 und 89378. Wie gehe ich am besten vor?GKE-Nutzer sind vor CVE-2020-8551 geschützt, sofern nur vertrauenswürdige Nutzer Anfragen innerhalb des internen Netzwerks des Clusters senden dürfen. Bei Verwendung autorisierter Masternetzwerke tritt CVE-2020-8552 außerdem seltener auf. Wann gibt es einen Patch?Patches für CVE-2020-8551 erfordern ein Upgrade des Knotens. Die Patchversionen, mit denen die Sicherheitslücke entschärft wird, sind unten aufgeführt:
Patches für CVE-2020-8552 erfordern ein Masterupgrade. Die Patchversionen, mit denen die Sicherheitslücke entschärft wird, sind unten aufgeführt:
|
Mittel |
GCP-january_21_2020
Veröffentlicht: 20.01.2020Aktualisiert: 24.01.2020
Referenz: CVE-2019-11254
GKE
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 24. Januar 2020: Die Einführung von Patchversionen hat bereits begonnen und wird bis zum 25. Januar 2020 abgeschlossen. Microsoft hat eine Sicherheitslücke in der Windows Crypto API und ihrer Validierung von Elliptische-Kurven-Signaturen offengelegt. Weitere Informationen finden Sie in der Offenlegung von Microsoft. Was soll ich tun? Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Es sind nur Knoten betroffen, die Windows Server ausführen. Kunden, die Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. So aktualisieren Sie die Container: Erstellen Sie Ihre Container mit den aktuellen Basis-Container-Images von Microsoft und wählen Sie dabei ein servercore- oder nanoserver-Tag mit LastUpdated-Zeit vom 14. Januar 2020 oder später aus. So aktualisieren Sie die Knoten: Die Einführung von Patchversionen hat bereits begonnen und wird bis zum 24. Januar 2020 abgeschlossen. Sie können entweder bis zu diesem Zeitpunkt warten und ein Knotenupgrade für eine GKE-Patchversion ausführen oder mit Windows Update jederzeit den neuesten Windows-Patch manuell bereitstellen. Die Sicherheitslücke wurde in folgenden Patchversionen entschärft:
Welche Sicherheitslücken werden mit diesem Patch behoben? Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücken: CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über TLS-Nutzerverbindungen mit der betroffenen Software zu entschlüsseln. |
NVD Base Score: 8,1 (hoch) |
Archivierte Sicherheitsbulletins
Sicherheitsbulletins vor 2020 finden Sie im Sicherheitsbulletin-Archiv.